- Home
- Categorie
- Impresa, Fisco e Leggi
- Leggi per le Professioni Web
- Quale "informativa privacy" per un semplicissimo form di contatto?
-
Le stesse responsabilità del gestore in assenza di disclaimer.
Per una ricerca puoi partire dal mio blog in firma.
-
Grazie bsaett!
-
Signori da privacy officer vi dico solo di fare attenzione a basarsi su thread molto vecchi come questo, alcune informazioni sono errate o incomplete proprio perchè nel corso del tempo la normativa si è (per fortuna ma ancora non quanto dovrebbe) evoluta, e cose che nel 2011 o 2012 non erano nemmeno nelle idee del garante, ora hanno specifici provvedimenti. Tra le tante dal 2014 dovrebbe arrivare la legge europea nuova che porterà ancora ulteriori novità in merito, soprattutto anche di natura tecnica, quindi io vi consiglio sinceramente quando si vanno a toccare tasti che possono portare a sanzioni salate come quelle relative a violazioni sulla privacy, di rivolgervi ad un consulente in materia e non a cercare a caso su internet. Poi che siamo in italia e nessuno magari verrà a controllare il vostro sito se non dopo una segnalazione è cosa nota, ma se avete a cuore il problema, rivolgersi ad un professionista è sempre la migliore soluzione (occhio magari che non sia un professionista improvvisato ehehe)
-
Ciao Bryan_Fury,
se hai motivo di correggere informazioni errate o superate puoi farlo tranquillamente, anzi ti invito a farlo per l'utilità del forum. Un avvertimento generico che alcune informazioni sarebbero errate non aiuta nessuno, ma delegittima solo il lavoro di coloro che spendono tempo in questo forum per cercare, nei limiti del possibile, di aiutare gli altri. E' ovvio che si tratta di consigli (e non di consulenze) e come tali vanno presi.
Per la riforma del 2014, ti informo che c'è il rischio che slitterà nuovamente, visto che gli emendamenti in Commissione LIBE lievitano (ormai siamo ad oltre 3000) per la feroce opposizione delle lobby americane. Mi pare prematuro, però, preoccuparsi di norme non ancora in vigore.
-
D'accordo con bsaett. Lo spirito del forum è quello di auto-aiuto tra gli utenti. Non va delegittimato, secondo me, bensì potenziato. Sarebbe analogo che nella sezione che io modero, dicessi di rivolgersi ai professionisti per chiarire le tematiche.
Saluti
Roberto
-
Ragazzi non prendetela a male, se vi dico in questo modo è perchè ho avuto colleghi che a causa di aiuti vari sui forum, si sono trovati con persone prima che hanno tentato di avere informazioni come se fosse una consulenza professionale, poi hanno fatto di testa loro, e poi proprio per un aiuto dato via mail, si sono trovati a noie perchè venivano accusati di cose senza senso... Nel caso specifico vi posso dire che ormai la legge prevede ad esempio il consenso non flaggato per i form di contatto di qualunque tipo essi siano tanto per fare un esempio, ma la legge è estremamente ampia, se poi si parla di siti web che hanno collegamenti a gestionali interni ci sono da fare precisazioni ulteriori, insomma non pensate che vi dica di rivolgervi ad un professionista per fare la ricerca del lavoro autoreferenziato, quanto perchè proprio a causa della specificità dell'argomento, si rischia di infilarsi in un ginepraio
@bsaett
Senza offesa, ma hai informazioni abbastanza sbagliate, o meglio, hai quelle che vengono comunemente dette in rete o sui quotidiani normali
Ho conoscenza diretta sia con alcuni rappresentanti a livello europeo che lavorano al testo sia per informazioni che ci hanno dato durante i convegni alcuni europarlamentari italiani ma anche il garante aggiunto, gli emendamenti non erano 3000 ma oltre i 5000, peccato che ormai siamo già oltre e entro la fine del mese la commissione conta di chiudere i lavori con la bozza semi definitiva pronta e poterla eventualmente ridiscutere entro la fine dell'anno. In realtà il discorso è che a livello europeo esistono 2 correnti di pensiero, quelli che hanno bisogno di rapportarsi all'america e quelli che vogliono fare un mercato di circolazione dei dati solo per l'europa. Non a caso esistono tutti vari accordi tipo safe harbour e affini che stanno cercando di togliere di mezzo. Il grosso problema è che esistono nazioni tipo la germania o l'austria che hanno garanti particolarmente vivi e nel cuore dei problemi, e nazioni tipo la nostra che mirano solo a tagliare roba a caso giusto per riempirsi la bocca con "semplificazioni".Al solito in Italia ora non fa quasi più nulla nessuno, commercialisti a rischio di perdita dell'autorizzazione entratel, dati sensiibili alla mercé di tutti, videosorveglianza che viola ogni principio fondamentale... eppure in Italia sembra quasi che sia più grave il non mettere un'informativa sul sito
Come se poi realmente qualcuno andasse a vigilare su tutti i siti esistenti in rete per cercare le informative...Tornando al regolamento europeo, il vero problema ora è solo mettere i paletti di applicazione, dato che (per fortuna aggiungo io) sta passando una corrente di pensiero che vede puntare all'applicazione pratica per la salvaguardia dei dati, e non alla creazione di altra burocrazia a complicare ulteriormente la ragnatela normativa delle aziende.
E sempre in un'ottica futura, ti posso già dire da ora che se un'azienda fosse già a norma ora, nel 90% dei casi sarebbe già a norma anche per il futuro. Perchè pensare già al futuro? Perchè hanno introdotto una cosa che sicuramente non farà molto piacere alle aziende: sanzioni fino al 2% del volume di affari, maggiorabili in base alla gravità dei fatti... Se parliamo di piccoli commercianti ok (anche se per fortuna dovrebbero essere una categoria che non dovrebbe nemmeno essere considerata dal nuovo codice), ma ti immagini una multinazionale o grande ditta, con molti dipendenti che prende una scoppola del genere? Io ti posso dire che qualcuno che si è già messo avanti c'è giàHo un pelo divagato ma è la mia materia e mi piace ragionarne
-
Ciao Bryan Fury,
ripeto quanto detto nel precedente messaggio: se hai motivo e modo di correggere o aggiornare informazioni non corrette o datate contenute in QUESTA discussione e pertinenti a QUESTA discussione (punto 3.0 del regolamento del forum) ti saremmo (tutti) molti grati se lo facessi. Il resto è off topic!
Se vuoi discutere di norme non ancora vigenti, argomento sicuramente interessantissimo ma non conferente a QUESTA discussione, ti invito ad aprire altra discussione alla quale sarò lieto di partecipare per apprendere, fermo restando che messaggi che potrebbero essere ritenuti autopromozionali sono vietati dal regolamento del forum (punto 7).
Grazie per la comprensionePS. Gli utenti del forum non sono 'ragazzi'.
-
[h=2]**Complimenti per la discussione.. interessantissima! Sono una psicologa e ho un blog di terzo livello che gestisco. Mi piacerebbe inserire uno spazio per le consulenze psicologiche via skype o consulenze telefoniche. Per fare questo gli utenti invierebbero dati attraverso il sito. Sono obbligata a segnalare il sito al Garante della privacy? Il fatto che ho un blog di terzo livello comporta qualcosa? il dominio dovrebbe essere mio? **
-
Ciao dottoressa,
non c'è bisogno di alcuna segnalazione al Garante. Inserisci l'informativa privacy e indica chiaramente quali dati vengono registrati (mail....), come saranno trattati e per quali fini, e rispetta scrupolosamente i fini indicati.
-
Grazie per la risposta! Trovo sempre informazioni utili e interessanti qui!! La mia preoccupazione è relativa al fatto che il mio blog è ospitato da wordpress, ed è di terzo livello (nomeblog . wordpress . com) . I dati che gli utenti mi dovrebbero inviare attraverso i moduli di contatto del blog, tra cui anche le motivazioni della richiesta di consulenza (stato di salute mentale), verrebbero in qualche modo memorizzati anche da wordpress.com? Wordpress.com sarebbe così autorizzato a visionare le info personali dei miei eventuali pazienti? Essendo io una psicologa abilitata, posso io raccogliere questo tipo di info senza una notifica al garante? Ovviamente il tutto avverrebbe nel massimo rispetto della privacy! Grazie a chi risponderà
-
Ciao dottoressa,
ovviamente i dati, immagino si riferisca a dati sanitari, quindi sensibili, vengono "trattati" anche dai provider, quindi il gestore dell'accesso ad internet (es. telecom), il gestore di hosting e caching (wordpress), ma questi sono intermediari della comunicazione "coperti" da specifiche norme dell'unione recepite in italia, e una serie di accordi internazionali (safe harbour usa per wordpress). Per quanto ti riguarda devi preoccuparti dei dati che tratterai tu. Per la notifica, se ho capito bene il tipo di attività, direi che dovrebbe rientrare nel caso di esenzione stabilito dal provvedimento del Garante del 31 marzo 2004 (teleassistenza o consultazione sanitaria telematica). Nel caso verifica il provvedimento, e poi eventualmente contatti il Garante se hai ulterioi dubbi.
Il concetto è che i dati vengono spontaneamente forniti dagli utenti, se nell'informativa, da accettarsi prima o contestualmente all'invio dei dati, è chiaro che i dati vengono trattati solo per le finalità di assistenza sanitaria e che non vengono forniti a terzi, allora non ci dovrebbero essere problemi. Ovviamente se poi i dati venissero trattati per ulteriori finalità occorrerebbe la notifica al garante.PS I dati sanitari dovrebbero essere cancellati dopo la fornitura dell'assistenza sanitaria telematica, perchè in caso contrario si andrebbe oltre la finalità consentita.
-
Spettabile avvocato, la ringrazio vivamente per le informazioni fornite. Dopo l'espletamento della consulenza pensavo di conservare le email che gli utenti mi inviano con i loro dati, anche per dimostrare che me li hanno mandati loro spontaneamente, accettando l'informativa. Inoltre dovrei necessariamente utilizzare i dati per emettere fattura. In questo caso andrei oltre le finalità consentite? Ovviamente intendo specificare tutto questo nell'informativa.
-
aggiungo delle info per chiarire.. magari servirà anche a qualche collega che si trova nella mia stessa situazione. Normalmente, quando un utente prenota una consulenza inserisce i suoi dati quali nome, cognome, indirizzo, codice fiscale e qualche info personale per la sua salute. In automatico wordpress invia tramite email, oltre a tutti i dati inseriti, anche l'IP del soggetto che ha richiesto la prestazione e l'ora in cui la richiesta è stata inviata.. Io vorrei conservare solo la email dove ci sono i dati personali del paziente (nome, cognome , indirizzo CF e indirizzo IP ) e l'esplicita accettazione dell'informativa. La terrei come prova del fatto che i dati mi sono stati inviati dal paziente di sua volontà. Tutte le altre email contenenti le info di salute del paziente le potrei anche cancellare.. Oltre a questo ho un altro dubbio. La mia piattaforma è gestita da Wordpress ma chiaramente anche io che gestisco il sito ho accesso ai dati statistici dei visitatori che frequentano il mio sito ad esempio numero di visitatori al giorno, la nazione da cui i visitatori si collegano ecc.. Nella mia informativa sulla privacy devo specificare che accedo alle statistiche che posso visualizzare? Tenendo conto dell'enorme quantità di dati a cui accedo, considerata la mia professione sanitaria (psicologa) sono comunque esente da notificazione al garante della privacy? Ovviamente ho anche inviato una email al garante per saperne di più e vi aggiornerò non appena risponderà. Nell'attesa sarei ben lieta di conoscere la vostra opinione in merito. Grazie e complimenti per la professionalità con cui gestite questo forum!
-
[...]
-
[...] Chiunque può dare info ne sono contenta perché da garante, al momento, non risponde nessuno
-
Allora, i dati possono essere mantenuti a fini di fatturazione, ovviamente. Il concetto del cancellare i dati riguarda quei dati che non occorre più mantenere (e specialmente quelli sanitari). Cioè, una volta espletata la prestazione (consulenza) se non ci sono più esigenze di mantenere i dati sarebbe megliio cancellarli. Questo è previsto dalla normativa espressamente, perchè se io chiedo un certo servizio, il trattamento dei dati (conservarli è trattamento) è strettamente legato alla finalità e quindi trattarli oltre i tempi previsti dalla prestazione è un illecito perchè va oltre la finalità stabilita in sede di consenso.
Chiarito ciò, ripeto che è possibile mantenerli ovviamente fino alla fatturazione (e i soli dati occorrenti alla fatturazione), ma non oltre. E' possibile mantenerli in caso di prestazioni frazionate (una consulenza che si protrae per varie sedute).
Non vedo alcuna necessità di mantenere i dati personali oltre la fine della prestazione ai soli fini di provare il consenso. Se i dati sono stati forniti spontaneamente e non sono stati utilizzati da lei in altro modo che per fornire la consulenza l'utente sicuramente non avrà motivo di lamentarsi (in genere i problemi sorgono quando i dati vengono diffusi successivamente, pubblicati, forniti a terzi).
Se si attiene a queste regole a mio parere continua ad essere esente da notifica.Si, nell'informativa dovrà indicare che i dati di navigazione sono registrati a fini di statistiche anonime e a fini di sicurezza del sito. Trattandosi di wordpress dovrà specificare che tali dati vengono forniti a terzi che non garantiscono uguale tutela dei dati personali rispetto alla normativa europea, ma soddisfano i criteri di adeguatezza previsti dall'accordo Safe Harbor con gli USA e il trasferimento dei dati è consentito sulla base dell'Autorizzazione del Garante Privacy italiano del 10 ottobre 2001.
-
La ringrazio davvero moltissimo per le sue preziosissime informazioni, sempre chiare ed esaustive! Un particolare ringraziamento anche da parte delle mie colleghe, che pur non essendo iscritte al forum, leggono con attenzione discussioni istruttive come queste. Avevo pensato, per evitare ogni equivoco, di mandare ai pazienti /utenti il modulo da compilare e firmare , in modo da poterlo stampare e conservare SOLO in formato cartaceo, arginando ogni problema di sicurezza informatica. Potrebbero inviarlo tramite email, in modo che io possa conservarli in modo più sicuro. Preferisco avere "la prova " dell'invio dei dati, anche perché nel corso di un controllo (forse) potrebbero richiedermi le informative firmate o una copia del consenso informato... almeno credo che sia così ma non conosco nulla di questa materia, sono completamente all'oscuro di tutto e cerco umilmente di documentarmi. Ovviamente conserverei solo i dati fondamentali e le relative fatture , cancellando tutti quelli sanitari. Vorrei mettere sull'informativa del sito il link relativo all'informativa della privacy di wordpress, in modo che l'utente possa esaminare bene le modalità con cui i dati di navigazione verranno trattati. Cosa ne pensa? Ci illumini Lei avvocato
-
PS mi spiego meglio.. conserverei solo il modulo cartaceo del consenso informato e dell'informativa con nome cognome e firma. Il resto delle email le cancello e conservo solo le fatture.
-
Ciao a tutti, volevo chiedervi se l'informativa va aggiunta anche nel caso in cui il form viene compilato da un utente estero.
In altre parole, è valida solo per l'Italia (e gli utenti italiani) o anche all'estero?
Grazie
-
Ciao dottoressa,
non capisco il "problema di sicurezza informatica". La questione riguarda il trattamento di dati (anche cartaceo) e la finalità di trattamento. Io direi che conservare in cartaceo i dati inerenti la fatturazione va bene, il resto propenderei per la cancellazione al termine della prestazione della consulenza. Conservare le informative firmate, sia in elettronico o cartaceo va benissimo (le informative contengono solo i dati principali dell'utente, quindi nome, cognome, mail).
Si il link all'informativa Wordpress ci deve essere nel momento in cui comunica, nell'informativa, che i dati sono inviati al terzo (wordpress).
Ciao kaisersauzee,
l'informativa è per tutti gli utenti, indipendentemente dall'ubicazione, ed è relativa al trattamento, che si svolge in Italia.
