bsaett

L'informativa è obbligatoria ogni volta che si trattano dati personali come nome, cognome, o mail, o anche indirizzo Ip. E' prevista dal codice della privacy.

tonino

@bsaett said:

L'informativa è obbligatoria ogni volta che si trattano dati personali come nome, cognome, o mail, o anche indirizzo Ip.

Ok Bsaett, grazie ancora per la risposta.
Mi permetto di "tradurre" in modo ancora più semplice: l'informativa va inserita pressoché in qualunque sito web.

Farebbero eccezione solo quei siti che, oltre a non chiedere nome, cognome o email, non registrano nemmeno i file di log, ma questo, per altre norme, non è possibile... Dico male?

E comunque, va bene... La pianto qui, non voglio abusare della pazienza di nessuno

Grazie ancora.

bsaett

Diciamo che se hai un blog con pagine visualizzabili per tutti, senza modulu di contatto o di richiesta informazioni, non ci sarebbe necessità alcuna di inserire informativa, perchè non raccogli dati personali.
In realtà però bisognerebbe verificare se sul sito girano software che tracciano gli utenti, registrando ad esempio l'ip. Spesso vengono utilizzati software di statistica utenti che conservano dati personali, e quindi anche in tale caso dovrebbe essere inserita l'informativa.

tonino

@bsaett said:

In realtà però bisognerebbe verificare se sul sito girano software che tracciano gli utenti, registrando ad esempio l'ip. Spesso vengono utilizzati software di statistica utenti che conservano dati personali, e quindi anche in tale caso dovrebbe essere inserita l'informativa.

Perfetto Bsaett, questo dal mio punto di vista dirime ogni possibile dubbio.
Poiché so che nei siti web che ho realizzato c'è sempre, come minimo, un software di statistiche che traccia anche gli indirizzi IP... Vado ad aggiungere l'informativa in tutti quanti.

Di nuovo, molte grazie per il parere e la gentilezza.
Saluti

tonino

Salve di nuovo,
ultimissimo dubbio al riguardo, stavolta immagino decisamente meno complesso...

Sto inserendo una pagina con l'informativa sulla privacy in ogni singolo sito realizzato, gratuitamente: è un lavoro lungo e noioso, ma ce la farò.

In ogni caso, per curiosità, ma... Sono io, il web designer che ha realizzato il sito, il responsabile dell'eventuale mancanza di una qualunque informativa?

Grazie di nuovo.

bsaett

Se sei l'unico che gestisce il sito direi di si.

tonino

Eh no, Bsaett: io sono esclusivamente il web designer, colui che realizza il sito per conto del cliente, nel senso più classico e scontato della definizione di web designer.

Il sito poi se lo gestisce il cliente, se ha un CMS, oppure non lo gestisce nessuno, se è un sito statico. Ma è comunque il cliente il responsabile dei contenuti presenti: se ad esempio sul sito mi fa scrivere che offre certi servizi e poi ne offre altri o fa di peggio, io non posso essere responsabile.

Sono invece responsabile o corresponsabile per aver eventualmente omesso, in fase di realizzazione del sito, la pagina con l'informativa sulla privacy?
Il cliente non dovrebbe quantomeno preoccuparsi di chiedermi spiegazioni dell'omissione e magari indicarmi di inserirne una e magari redatta da lui/lei?

Insomma, io mi sono preparato un mio modello di informativa "standard", buona per tutti i siti realizzati, e la sto man mano inserendo in tutti quanti. Ma non mi pare che i miei concorrenti facciano altrettanto...

Non sarà un po' troppo curare anche gli interessi legali dei miei clienti, pur essendo io solo un web designer?

Queste sono le mie domande, insomma.
Grazie per la disponibilità.

bsaett

Webdesigner non è un concetto giuridico, per cui si parla di gestione.
Mi spiego, se tu fai il sito e poi basta, allora non sei responsabile di nulla, ma se la gestione in qualche modo è anche di tua competenza (il cliente ti chiede di inserire un articolo...) allora sei (potresti essere) responsabile o corresponsabile.

PS Nell'informativa indichi quale titolare e responsabile della privacy il cliente, immagino!

tonino

Ciao Bsaett,
ti ringrazio per la risposta, ma permettimi di dire che - ovviamente non certo per causa tua! - questa continua "oscurità" delle leggi italiane è davvero insopportabile. Per ogni singolo argomento ci sono mille aspetti da valutare.

Mi spiego. Io faccio il web designer, non il web master e nemmeno il copywriter: se giuridicamente questo non vuol dire niente, nella realtà significa che non curo assolutamente i contenuti del sito che realizzo ed eventualmente gestisco. Se il cliente mi chiede di inserire un articolo in geroglifico, io ne valuto gli aspetti tecnici (la codifica dei caratteri da usare ad esempio), ma non mi sognerei mai di tradurre, anche solo mentalmente, cosa c'è scritto. Se il cliente chiede anche la traduzione dal geroglifico all'italiano, dovremo incaricare un egittologo! Io non basto più.

Comunque, anche questo c'entra poco... Abbiamo detto che anche i soli indirizzi IP degli utenti sono "dati personali", quindi certo, può capitare che il cliente mi commissioni di analizzare i dati raccolti dai software di statistiche in uso sul loro sito (generalmente quindi forniti da me).
Ma anche in questo caso, il fatto che io leggo e analizzo questi dati su commissione del cliente è sufficiente per dire che sono "corresponsabile" della mancata fornitura di un'informativa sulla privacy ai visitatori del sito?

Mi spiego ancora meglio, se hai ancora pazienza!
Per conto di un cliente realizzo un sito di poche pagine statiche, con solo un form di contatti come indicato all'inizio del thread (nome, email, messaggio), gli fornisco hosting e registrazione del nome di dominio, con il servizio hosting il cliente ha a disposizione anche un software di statistiche (fino qui siamo in una situazione direi quantomeno "tipica")... Finito: consegno il sito, il cliente mi paga e arrivederci. Se ha bisogno di aiuto, mi contatta; se vuole aggiungere altre pagine, mi contatta.

Abbiamo omesso di inserire una pagina con l'informativa sulla privacy!

Ora chi è il responsabile di questa mancanza? Io che non sapevo nemmeno che c'andasse e che non mi sono informato perché nessuno me lo ha chiesto e nei corsi di web design che ho seguito nessuno mai ce lo ha indicato, oppure il cliente che è proprietario del sito e dei contenuti e che non ha chiesto a nessuno, né a me, né tantomeno al suo avvocato, se avere un sito del genere comporta qualche obbligo di legge?

Scusa/scusate la "lungaggine", ma la questione si sta facendo complessa per le mie bassissime competenze legali.

Ah, sì: nell'attuale modello di informativa che sto utilizzando indico sempre, solo e soltanto il cliente quale titolare e responsabile della privacy.

Grazie ancora per le risposte e per la pazienza

bsaett

Ciao Tonino,

la situazione è la stessa che ho precisato sopra.
Una legge deve essere astratta, per cui non può parlare di web master, web designer, web ecc..., si limita a riferirsi alla compartecipazione al reato. Se compartecipi allora sei corresponsabile, molto semplice.
Ovviamente si deve verificare in concreto la partecipazione, per cui se tu inserisci un articolo in aramaico, lingua che non conosci, fermo restando che sarai indagato per la violazione (quella commessa con l'articolo), tu potrai sempre discolparti dicendo di non conoscere l'aramaico e quindi non aver capito di cosa si trattava. Converrai con me che, però, è un caso limite.

Per la questione dell'analisi dei dati, al massimo saresti correponsabile per un trattamento non autorizzato di dati (quelli che ti fornisce il cliente), non certo per non aver messo l'informativa, almeno io ritengo così.

Per l'ultima domanda, il problema è del cliente, non tuo. Tu fornisci il sito, poi sta al cliente sapere cosa deve avere (lui) per poterlo usare (gestire). Come dire, se io compro un'auto, la concessionaria non controlla mica se ho la patente, né mi fornisce il codice della strada. Il problema è esclusivamente mio!
Però, se poi il cliente ti contatta e ti chiede di mettere un bell'articolo, nel quale sono in bella vista delle foto pedopornografiche, allora sei corresponsabile del reato.

tonino

@bsaett said:

Per l'ultima domanda, il problema è del cliente, non tuo. Tu fornisci il sito, poi sta al cliente sapere cosa deve avere (lui) per poterlo usare (gestire). Come dire, se io compro un'auto, la concessionaria non controlla mica se ho la patente, né mi fornisce il codice della strada. Il problema è esclusivamente mio!

Ciao Bsaett, l'esempio è perfetto! Ora sì che mi è tutto chiaro
Almeno: questo si adatta perfettamente alla domanda originaria. Io fornisco il sito di poche pagine, compreso il form dei contatti e soprattutto con il software di statistiche, a sua volta fornitomi dal provider del servizio hosting. Non è affatto detto -e anzi è molto raro- che mi si richieda di dare uno sguardo alle loro statistiche.
Proprio come un'auto: ho fabbricato e venduto il sito, ma poi quello che uno ci fa non lo so. Mi viene anche in mente l'uso della casella di posta: il cliente potrebbe mettersi a fare spamming a più non posso! Io che ne so?

@bsaett said:

Però, se poi il cliente ti contatta e ti chiede di mettere un bell'articolo, nel quale sono in bella vista delle foto pedopornografiche, allora sei corresponsabile del reato.

Questo invece mi fa capire che le leggi, seppur astratte e generali, dovrebbero - e spero che in genere sia così! - tenere conto di un certo "buon senso": è chiaro che dovrei essere ritenuto corresponsabile se avallo quello che è un evidente reato!

Insomma, grazie ancora per la pazienza e il tempo dedicatomi. Ora mi è chiaro che, con la nuova pagina contenente l'informativa sulla privacy, sto facendo un favore gratuito a quasi tutti i miei clienti: la maggior parte dei siti web consegnati, non li gestisco affatto.

Saluti

seven

pqa.it/index.php?option=com_content&view=article&id=215:obbligo-dinformativa-privacy-sul-sito-web&catid=34:archivio-news&Itemid=68

ciao
scusatemi, leggendo questa notizia sembrerebbe però che l'informativa debba essere anteposta alla compilazione di una qualsiasi form. Quindi dovremmo modificare le nostre pagine in questo modo:

Pulsante richiesta informazioni -> Pagina informativa -> Pulsante Acconsento che da la possibilità di passare alla pagina con la form dei contatti.

Inoltre ho letto che la privacy policy deve essere messa anche sui quei siti dove viene semplicemente riportato l'indirizzo email di contatto.

Secondo voi ??

tonino

@seven said:

leggendo questa notizia sembrerebbe però che l'informativa debba essere anteposta alla compilazione di una qualsiasi form. Quindi dovremmo modificare le nostre pagine in questo modo:

Pulsante richiesta informazioni -> Pagina informativa -> Pulsante Acconsento che da la possibilità di passare alla pagina con la form dei contatti.

Secondo me, almeno da quello che leggo su quel sito...

Su alcuni siti web è richiesto all'interessato di esprimere solo il consenso al trattamento dei propri dati, ma ciò dovrebbe essere fatto solo dopo la lettura della privacy policy; questo infatti non basta ad evitare la multa, che punisce l'omissione dell'informativa....dovrebbe essere sufficiente una checkbox non spuntata con la quale l'utente conferma di aver letto l'informativa sulla privacy.
Ovviamente la pagina sull'informativa resta obbligatoria.

@seven said:

Inoltre ho letto che la privacy policy deve essere messa anche sui quei siti dove viene semplicemente riportato l'indirizzo email di contatto.

Da quanto abbiamo detto sopra mi pare di capire che, anche senza nessun email di contatto, senza form e senza possibilità di entrare in contatto se non per telefono, è comunque necessaria l'informativa non appena si abbia un software di statistiche che raccoglie dati "personali" come l'indirizzo IP.

Visto quindi che praticamente tutti i servizi di hosting prevedono ormai un più o meno semplice sistema di raccolta dati di accesso al sito, io direi a questo punto, con buona approssimazione, che l'informativa sulla privacy è obbligatoria sempre.

Un dubbio che ho avuto di recente è invece sull'inserimento dell'informativa su siti personali, su piccoli blog o simili: in quel caso colui che potrebbe raccogliere i dati personali è un privato cittadino dal quale non credo si possa pretendere che solo per il fatto di avere un microsito con delle statistiche si doti di un'infrastruttura adeguata per raccogliere i dati, anche se poi non li raccoglie!

Ma qui, come spesso accade, entriamo nell'accademico!

Sto tentando di domandare alcune cose all'URP del Garante: per email mi hanno chiesto di chiamare un numero che squilla sempre a vuoto!

seven

Ciao e grazie per la tua risposta.

Sul quel sito segnalato riporta questo

"Su alcuni siti web è richiesto all'interessato di esprimere solo il consenso al trattamento dei propri dati, ma ciò dovrebbe essere fatto solo dopo la lettura della privacy policy; questo infatti non basta ad evitare la multa, che punisce l'omissione dell'informativa."

Forse capisco male io ad interpretare ma dice che esprire il solo consenso non basti infatti sono stati multate le aziende.

Per la questione semplice email sul sito, mettere l'informativa non è che pesi molto.

Ben diversa è la questione dei blog, infatti in questi giorni anche io mi sono domandato se mettere o non mettere l'informativa sui blog. La problematica è per i privati, il blog da la possibilità di poter commentare inserendo il proprio indirizzo email, quindi se stiamo a vedere anche chi ha un sito personale, con la possibilità di ricevere dei commenti, deve essere necessaria la privacy.

Io ora sto chiedendo maggiori delucidazioni ad uno studio specializzato in materia.

tonino

Ciao seven,

@seven said:

Sul quel sito segnalato riporta questo

"Su alcuni siti web è richiesto all'interessato di esprimere solo il consenso al trattamento dei propri dati, ma ciò dovrebbe essere fatto solo dopo la lettura della privacy policy; questo infatti non basta ad evitare la multa, che punisce l'omissione dell'informativa."

Forse capisco male io ad interpretare ma dice che esprire il solo consenso non basti infatti sono stati multate le aziende.

in effetti non è chiarissimo, ma io capisco così: non basta che chiedi il consenso al trattamento dei dati (anche solo 4-5 righe), ci vuole la vera e propria "Informativa sulla privacy" (un documento decisamente più completo). La multa infatti è data dall'omissione di questo documento.

Se il documento sulla privacy è presente e nel form ti accerti che l'utente l'abbia letto o almeno esprima di averlo letto (una checkbox che senza spunta non consente l'invio dell'email), mi pare non venga violata alcuna norma.

Per il resto, sottolineo di nuovo quello che già aveva accennato BSaett: il solo indirizzo IP è già considerato "dato personale". Basta loggare questo per essere obbligati ad inserire l'informativa sulla privacy, per questo mi pare di capire che praticamente non esiste sito che non rientri nell'obbligo.

Ma in un blog personale il detentore dei dati raccolti sarebbe un privato, quindi addio alla sua di privacy: nell'informativa andrà indicato non solo il nome e il cognome del proprietario del blog, ma pure dove abita o almeno dove "conserva i dati"!!!

Se riusciamo a saperne di più, scriviamo qui.

seven

Dimenticavo...
Per la questione indirizzi IP, concordo sul fatto che sia un dato personale, anche se detto sinceramente potremmo discuterne tutto il giorno, dato che gli indirizzo IP dinamici per noi non sono facilmente riconducibili ad una persona.
Mi diceva il consulente che la raccolta e la consultazione di questi dati IP e l'analisi delle abitudini o delle scelte di consumo sono da notificare al garante della Privacy.
A vostro parere quanti lo fanno ?? Pochi o nessuno.

Manteniamoci aggiornati.

bsaett

Premetto che su questi argomenti non c'è sempre concordanza di vedute. Quando ci saranno indirizzi giurisprudenziali consolidati il problema dovrebbe essere risolto.

Al momento la questione è in questi termini, se io tratto dati personali devo mettere l'informativa, che, come dice la parola stessa, informa l'utente che fine fanno i suoi dati, quali suoi dati vengono raccolti, a chi vengono eventualmente forniti, ecc.... E' obbligatoria in presenza di dati personali, come l'ip che è cosiderato tale a livello comunitario (la questione dell'ip dinamico si pose ma si è preferito una norma più restrittiva).

Sopra si parlava di piccoli blog, ebbene una norma specifica del codice privacy stabilisce che l'informativa non è dovuta quando i mezzi da utilizzare sono sproporzionati rispetto al diritto tutelato. In realtà non mi sovviene un caso simile, piuttosto c'è da dire che i piccoli blog generalmente sono inseriti in piattaforme specifiche (es. Blogger), dove il trattamento dei dati è realizzato dalla piattaforma, non dal gestore del blog, infatti l'informativa è presente sul sito della piattaforma. Questo in presenza di blog a semplice lettura (gli ip sono trattati dalla piattaforma), se invece si inserisce il form dei commenti con la possibilità di tracciare le mail allora necessita una specifica informativa per il blog, a carico del gestore.

Infine, per l'analisi del traffico (ip) non mi risulta sia da notificare nulla al garante, generalmente si tratta di analisi statistiche organizzate per dati cumulativi, che non consentono l'identificazione del singolo utente. In tali casi non necessita nulla, oltre l'informativa.

seven

@bsaett said:

Infine, per l'analisi del traffico (ip) non mi risulta sia da notificare nulla al garante, generalmente si tratta di analisi statistiche organizzate per dati cumulativi, che non consentono l'identificazione del singolo utente. In tali casi non necessita nulla, oltre l'informativa.

Ciao
ti ringrazio per le tue precisazioni, molto esaustive.
Qui però ti devo contraddire, perchè non mi sembrano dati cumulativi, anche perchè si vede ogni singola azione, quindi interesse del visitatore.
Spesso le aziende hanno indirizzo IP fisso e in molti lo hanno intestato. Io ho un software normalissimo di statistiche, non italiano, dove visualizza il nome dell'azienda invece in quanto l'IP è di proprietà dell'azienda.

In rete esistono molti software simili, generalmente chiamati WHOIS per risalire al nome dell'azienda nel caso che l'indirizzo IP tracciato, diciamo, è acquistato.

Tu hai la possibilità di ricercare dal sito del garante i casi per cui è necessaria la notifica al garante ?

Grazie

bsaett

Ciao Seven,

magari il Garante si preoccupasse di chiarire i dubbi dei semplici cittadini:(. Come dicevo stiamo nel campo delle ipotesi, per cui ti faccio la mia ipotesi.

Dunque, il tracciamento degli Ip, per quello che ne so io dal punto di vista tecnico, non consente l'identificazione fisica di una persona, al massimo si può giungere ad una strada, anche se in genere la **localizzazione **è molto approssimativa (io talvolta risulto al largo delle coste africane).
Per individuare il nome della persona fisica, invece, è necessario incrociare il dato (anzi i dati, ip e data + orario) con i dati del fornitore di accesso alla rete, e questi non li fornisce se non alla magistratura. Quindi, sotto questo profilo possiamo dire che l'ip da solo non serve nè a localizzare nè ad **identificare **una persona, pur essendo ritenuto un dato personale.
Ora, la normativa (art. 37 codice privacy) prevede la notifica al garante sia nel caso di geolocalizzazione, a meno che non si tratti di rilevazione non continuativa del passaggio o della presenza di persone (ad esempio la rilevazione da telecamere a circuito chiuso). La geolocalizzazione che prevede la notifica, quindi, si potrebbe senz'altro ritenere quella che si ottiene tramite un gps, purchè sia continuativa, credo che quella ottenuta tramite ip non sia assoggettabile ad obbligo di notifica.
Altro problema è quello della **profilazione **degli utenti, laddove per profilazione si intende l'incrocio tra dati al fine di realizzare un profilo del'utente preciso al punto da potergli inviare messaggi commerciali su misura, come accade per Adsense ad esempio.
La profilazione su un normale blog non è possibile, perchè generalmente i dati del blog, quand'anche fossero il più completi possibili, al massimo riguardano l'ip, le pagine visitate, quelle di entrata e quelle di uscita. Un po' poco. Comunque per evitare problemi in tal senso i software di statistica del traffico in genere tendono a non incrociare tali dati, in modo che non sia possibile nemmeno una profilazione minima.

Per quanto riguarda il caso degli ip fissi che consentono l'identificazione di un utente, credo che la cosa non cambi perchè l'identificaizone in realtà dipende da altro database in rete, non dal tracciamento del blog, ed io, quale titolare del blog devo occuparmi dei dati che tratto io non di quelli che trattano altri. Il problema, quindi, si sposta al database del Whois, che avrà chiesto l opportuno consenso al momento di pubblicare quei dati.

Si tratta ovviamente di 3 aspetti ancora da approfondire, e sui quali discutere ancora molto, ma il mio parere per il momento è nel senso sopra descritto.

seven

Grazie ancora per la fantastica spiegazione.
Però non ho capito se io pubblicato Adsense sul mio sito, o forme di guadagno che utilizzino sistemi simili a quelli di Adsense sono costretto d'inviare una notifica al garante.

Secondo quanto hai scritto appena prima parrebbe di no perchè non sono io il responsabile degli annunci di Facebook, anche se ricordo che nella privacy policy ho messo qualcosa proprio inerente a google Adsense... dovrei vedere bene.

Grazie ancora