• A
    User

    @Bryan_Fury said:

    Quoto tutto al 100%.
    E' il messaggio che ho cercato di far passare fino adesso.

    0
  • O
    User Attivo

    io li faccio i dps, e ti posso assicurare che ti conviene farlo (o meglio ti conveniva, dato che ormai la scadenza è passata).

    Non riesco a capire il significato, o meglio: non conoscendo comunque la data di scadenza di tale obbligo... vorrei chiedere se: ora quindi non si può più fare nulla? Mi pare un po' una assurdità... cioè: a parte che non sapevo minimamente che anche per il solo conservare le fatture fosse necessario il DPS, ma visto che l'attività di marketing (o meglio promuovere una azienda su nostro portale) è partita solo a fine febbraio/metà marzo con anche le prime adesioni...

    Inoltre, non vorrei azzardare chissà cosa ma quando contattammo il garante per la privacy (rispose una gentile signora) le chiedemmo: quali adempimenti abbiamo per una simile attività? Lei rispose: informare il cliente sul trattamento dei suoi dati... ovvero la classica pagina sull'informativa, nient'altro.

    0
  • A
    User

    Se rileggi la discussione ti sarà più chiaro quali sono gli obblighi e i casi in cui potresti utilizzare l'autocertificazione o il DPS semplificato. In ogni caso almeno una autocertificazione la devono avere tutti.
    Fanno parte delle misure minime di sicurezza previste dal D.Lgs. 196/03.
    L'informativa fa parte delle altre misure minime che devi approntare.
    La scadenza è il 31 Marzo di ogni anno. Ormai sei in ritardo ma anche per questo rileggendo indietro troverai parecchie cose.
    Nel tuo caso penso ancora tu debba fare il DPS ma se volessi spiegarci meglio cosa fai con quei dati ti potrei/potremmo dare una risposta più precisa.

    0
  • O
    User Attivo

    Si infatti ora me lo rileggerò tutto...a stomaco pieno si ragiona meglio specialmente dopo un vai e vieni in auto...

    Ad ogni modo ti spiego in pratica cosa ne faccio dei dati che utenti/aziende inseriscono nei nostri portali o ci danno per adempiere agli obblighi fiscali:

    • Ho una ditta individuale in regime dei minimi aperta nel 2009 (quindi nessun dipendente etc...) solo io, tutto solo... anche se a breve sto pensando di passare ad azienda con un amico il quale ha una idea ... ma è un problema che non dovrebbe riguardare almeno il presente o prossimo futuro.

    i dati che conservo/tratto sono:

    • nome, cognome o ragione sociale, cod. fisc. o p.iva etc... per inviare le fatture sulle prestazioni offerte (prestazioni che sono solo servizi e nessuna vendita di prodotti - servizi quindi come: sviluppo portali web, progettazione campagne di marketing, creazione semplici landing pages, assistenza informatica e roba simile basandoci su quanto appreso in questi anni senza esagerare o offrire più di quanto potremo garantire)
    • nome utente, password per dati accesso alle aree riservate del nostro network (network di soli siti web online - nessuna extranet. A parte il server e pc che uso per sviluppare i portali dei clienti o la parte grafica e simili non uso programmi interfacciati con il web e con i quali si accede a dati conservati su calcolatori della sede della attività)
    • indirizzo ip ed header e dati generici per il modulo delle statistiche sugli accessi ai portali del network (non si ricorre a google analytics o altri esterni nè a programmi come adsense etc... se non esclusivamente del network)
    • nome, cognome, domicilio, data di nascita/anzianità azienda (quest'ultima esclusivamente espressa indicando 1/2/3/ ... anni) email, settore lavorativo etc... per l'account utente/azienda
    • dati sui prodotti/servizi/eventi che una azienda vuole promuovere

    nessun'altro dato...

    Ora: lascio per scontato che l'informativa sulla privacy c'è... l'unico ? è questo DPS...

    Ogni mese si inviano email alle aziende, esclusivamente a quelle che hanno rilasciato il consenso alla ricezione, con le statistiche sulle visite delle loro schede oppure campagne di marketing sulla nostra attività (in sostanza invio promozioni ai miei stessi clienti...).

    Credo sia tutto...

    0
  • A
    User

    Quello che è da considerare per verificare se si deve fare o meno il DPS lo hai scritto nella descrizione dei dati.
    In particolare:
    Se utilizzassi i dati esclusivamente per il punto 1 potresti fare l'autocertificazione (dati di fatturazione), ma il punto 3 e il 4 la escludono di sicuro. Qualche dubbio sul punto 2 ma visto il resto non vale la pena ragionarci.

    Inoltre l'utilizzo dei dati per campagne promozionali ti obbliga già di per se stesso a fare il DPS, indipendentemente dal consenso che deve comunque essere prestato.
    Insomma per me devi fare il DPS senza alcun dubbio. E pure in fretta visto che sei in ritardo. Restano ferme le altre misure minime tranne la nomina del Responsabile e dell'Incaricato perchè lavori da solo.

    Piccolo OT. Al momento sei da solo ma quando passerai ad azienda e prenderai un dipendente (o socio lavoratore o qualsiasi altra figura stabilmente integrata anche non retribuita) sarai soggetto anche agli obblighi riguardanti la Sicurezza sul Lavoro (D.Lgs. 81/08)

    0
  • O
    User Attivo

    AleB intanto ti ringrazio per il tuo contributo, credimi... anche visto il tempo che dedichi al tutto... ma avrei una domanda da fare senza però che tu la prenda come un "non credo a ciò che dici" visto che mi metterò subito a fare sto DPS...

    Mi chiedo: ok lo devo fare, ma allora perchè quando telefonai al garante (e posso mostrare tanto di email seppure non ha alcun valore in quanto proprio quel giorno non la mandai con la pec - mannaggia a me) chiesi esplicitamente e senza rigirare nelle parole:

    Oltre al documento sull'informativa ho qualche altro obbligo per questa attività?

    Per essere molto più precisi rimanemmo quasi mezz'ora la telefono parlando proprio del nostro programma da poco messo online (quello che trovi allegato in firma) e l'operatrice mi diede così tanti consigli (anche pareri sulle campagne di marketing b2b e b2c) che alla fine mi confermò che per quel portale (per la mia attività) era più che sufficiente il solo foglio sull'informativa sulla privacy (in sostanza quello che si trova in ogni portale dove viene indicato: il nome del titolare al trattamento, quali dati si trattano ed i diritti dell'interessato al trattamento).

    Ora, leggendo questa discussione ed il thread aperto dall'utente Criceto sul modello (modello che comunque già conosco avendo avuto modo di vedere una demo di un software per redarre questi dps) mi rimane sempre il dubbio e ti chiedo scusa se lo avanzo così spudoratamente ma non mi piace avere peli sulla lingua:

    ho capito che tu lo fai per lavoro questo di preparare i DPS e stessa cosa Criceto, però vorrei capire: voi dite si è da fare e che non basta l'autocertificazione (che a dire il vero non riesco ad afferrarne l'utilità di questa autocertificazione) l'operatrice del garante mi ha detto "no nessun altro adempimento"...

    Ora: a chi credere?
    A me non costa niente prendere e compilare le varie schermate del software... e poi stampare il dps ed autoinviarmelo via pec...

    ma vorrei capire il perchè di questa enorme differenza di pareri: chi dice si, chi dice no... e notare chi è che dice no!

    Per quanto riguarda gli adempimenti una volta che diventermeo azienda, beh... a dire la verità sono talmente eccitato che al momento non ho il timore di questi adempimenti visto che comunque è anche un nostro sogno... 🙂

    PS: avrei una sola domanda: obbligo a parer tuo è quello di avere il DPS semplice o anche la notifica al garante (se posso chiederlo...)?

    0
  • A
    User

    Nessun problema per i dubbi e le domande, se non accettassi di mettermi in gioco non scriverei su un forum.
    E mi piace quando si parla a viso aperto. La franchezza è da preferirsi ad inutili giri di parole.
    Perchè l'operatrice con cui tu hai parlato ti abbia detto quelle cose onestamente non lo so. Per me la legge è chiara e tu ci rientri in pieno senza bisogno di interpretazioni.
    Forse, ma è solo una ipotesi, ti ha risposto in modo "elastico" applicando la normativa nel modo più accomodante verso di te, mentre noi consulenti siamo abituati a vederla nel modo più restrittivo. Non so trovare una spiegazione migliore.
    Hai ragione sull'autocertificazione: per tutto quello che hai letto e che non starò qui a ripetere è uno strumento difficilmente utilizzabile e di dubbia utilità, oltre che pericoloso.
    Notifica: per me rientri negli esoneri, quindi niente notifica.

    0
  • O
    User Attivo

    Ti ringrazio 🙂
    Beh magari se mai ne avremo l'occasione di vederci di persona ricordami il tuo nick su GT.. ti devo più di un caffè 😄

    0
  • B
    User Attivo

    concordo con quanto detto da AleB, personalmente ritengo necessaria la notifica solo su situazioni molto grandi come enti pubblici, chi fa ricerche di mercato prettamente su dati sensibili e non comuni, e chi ovviamente tratta dati giuridici.

    Sempre personalmente ritengo che la ditta comune, è esonerata quasi sempre dal dare notifica, alla fine sei sul confine tra autocertificazione e dps, la notifica la vedo obbligatoria solo per determinate categorie di cui per me non fai parte

    0
  • O
    User Attivo

    Premetto di aver già preso una mia decisione che comunque non riporterò in questo forum... però ragazzi, scusate ma, a questo punto la domanda è davvero lecita perchè la confusione in tale senso è a dir poco elevata:

    ho interrogato diversi esperti nel settore ponendo loro la domanda secca:

    chi deve avere il dps?
    chi tratta dati personali come ... e qui ci ho spiaccicato i dati che tratto io con la mia attività ... ha l'obbligo del dps?

    La risposta è stata data credo senza poter sbagliare interpretazione:

    Il DPS deve essere in possesso delle realtà che trattano dati sensibili non semplici dati personali per i quali è sufficiente l'informativa (come alla fine mi era stato detto anche dall'operatrice del Garante) e l'autocertificazione (da compilare al momento dell'eventuale controllo). Autocertificazione che non va creata prima nè conservata ma consegnata al controllo...

    Tali modifiche sono state portate in essere dal 2008 dopo che le prime disposizioni sul DPS avevano portato non pochi disagi (chiamiamoli così qui sul forum)... La questione DPS è che dal 2008 solo chi tratta dati sensibili (notare sensibili e non personali) deve avere questo dps.

    Queste sono le parole alla fine tutte condivise da chi interrogato... adesso (senza chiedermi di fare nome e cognome o numero di telefono): spade in mano e spezzetiamoci per preparare lo spezzatino per la cena? Una soluzione e parere condiviso è impossibile trovarlo o raggiungerlo?

    Chi dice si, chi dice no... chi dice secondo me...
    Ora non prendetela come polemica o altro ma in questo momento, mettendomi nei panni di un utente che entra in questa discussione e legge tutti questi dati, che magari è la prima volta che entra in questo forum magari per averlo trovato su google, credo che ciò che si chiederà è: ma questi sono tutti ubriachi?:?

    Adesso, provo a buttare li una cosa:
    cosa è un dato sensibile?
    cosa è un dato personale?

    dato personale, preso dal sito del garante, è: qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.

    dato sensibile: secondo il Codice sulla protezione dei dati personali (d.lgs. 196/2003), art.4, sono considerati dati sensibili i dati personali idonei a rivelare:

    le convinzioni religiose, filosofiche o di altro genere,
le opinioni politiche,
l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale,
lo stato di salute e la vita sessuale

    altri dati interessanti su it.wikipedia.org/wiki/Dati_sensibili

    Ora mi chiedo per il mio caso personale: visto che anche nell'informativa sul nostro portale viene chiaramente riportato che nessun dato sensibile viene richiesto nè trattato o conservato... perchè dovrei io fare il dps trattando esclusivamente dati personali?

    0
  • A
    User

    Le definizioni che dai di dati sensibili e personali sono corrette e tratte dall'art 4 del D.Lgs. 196/03.
    L'art.34 dello stesso D.Lgs recita:
    " Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
    [...]
    g) tenuta di un aggiornato documento programmatico sulla sicurezza;    "

    L'Allegato B, art 19 invece stabilisce che debba fare il DPS solo chi tratta dati Sensibili e Giudiziari.

    Quale delle due si applica? Nell'incertezza e per cercare di tener fede alla ratio della legge, che vorrebbe tutelare l'utente e non l'azienda, si tende a considerare il sottogruppo più ampio, cioè i dati personali. Forse chi hai interpellato non la pensa così. (Legittimo per carità. Speriamo però che l'ispettore sia d'accordo perchè è lui ad avere l'ultima parola).

    Nel 2007 poi (se non erro) c'è stato il primo chiarimento ufficiale che attestava che se i dati raccolti erano solo quelli utili alla fatturazione e l'uso che se ne faceva (trattamento) era effettivamente solo quello allora e solo in quel caso si poteva fare l'autocertificazione. Infine a luglio 2008 è stata aggiunto il comma 1 bis all'art 34 che introduceva ufficialmente l'autocertificazione anche per "i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale [...] In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrative e contabili [...]" Qui si parla di trattamenti oltre che di dati e tu i dati non li utilizzi ai soli fini della fatturazione, quindi ti collochi decisamente al di fuori dell'ambito dell'autocertificazione.

    Inoltre l'autocertificazione è la prova dell'avvenuta valutazione del rischio (per rubare un'espressione alla sicurezza) e non può essere in alcun modo prodotta davanti all'ispettore. Non avrebbe neanche senso, non trovi? A che servirebbe farlo con lui? Dimostrerebbe solo che non hai fatto NIENTE per essere in regola, neanche verificare in quale regime rientri. E sempre a rigor di logica se sostituisce il DPS ne segue i tempi e la periodicità annuale.
    Non so e non voglio sapere a chi hai chiesto ma IO come consulente preparo i clienti all'interpretazione più restrittiva della legge da parte dell'Ispettore. Cioè nel dubbio faccio la cosa che lo protegge di più dall'andare in contestazione. Il DPS. (nota bene: lo faccio per scrupolo e non per soldi, perchè alla fine facendo anche sicurezza nel conto finale che presento al cliente incide ben poco.)
    Però aggiungo che, per me, da te non ci sono dubbi, anzi!!
    Torno a dire che non mi spiego come hai potuto avere queste risposte. Per me sono a dir poco assurde. Non sono però la massima autorità in materia e non pretendo di avere la verità in tasca. Anzi se potessi indicarmi le fonti normative di queste opinioni magari potrei scoprire che sono io a sbagliare.

    P.S. Scusa se ho riportato in modo un pò pedante le fonti ma mi serviva per chiarire il concetto.

    0
  • B
    User Attivo

    Premettendo che concordo al 110% con AleB anche a questo giro, il problema fondamentale di questa legge è uno, ovvero che la legge è piuttosto strimizzita e i casi di applicabilità esagerati e capillari.

    Inoltre non c'è a livello proprio statale un minimo di formazione, non viene fatto un corso anche minimo che dia linee guida, e pertanto si è costretti a dare interpretazione quanto mai personale della legge, senza avere la certezza di qualcosa.

    Mi sembra inoltre veramente assurdo il discorso dell'autocertificazione da fare sul momento davanti all'accertatore, a quel punto, che senso avrebbe? Sarebbe come dire che non pago l'iva o le tasse, e poi quando ti viene un controllo, prepari l'assegno e paghi tutto...

    0
  • B
    User Attivo

    Sulla data certa sono d'accordo, infatti la storia della data certa "sembra" sia da attribuire ad un non ricordo quale precisato evento di avvocati dal quale uscì fuori la storia della data certa.

    La domanda però è: te la sentiresti di non far fare al cliente una bischerata come una semplice raccomandata o l'invio sulla pec, che magari gli evita ricorsi e cose varie, invece di farlo andare incontro a perdite di tempo? Io personalmente la data so bene che non serve, ma ho sempre sentito dire che "quello che avanza, è quello che toglie la fame" per cui con 2€ di raccomandata e data certa, passa la paura

    0
  • A
    User

    Sulla data certa abbiamo detto tutto ormai e Bryan_Fury ha sintetizzato bene il problema. Non è un obbligo. E' l'unico mezzo che attesta sicuramente la data del DPS, che comunque una data la deve avere per forza.
    Sulla "Probabile" assenza della sanzione per il DPS in ritardo possiamo essere d'accordo (e l'ho anche detto in precedenza) ma devo smentire criceto quando dice che l'ispettore non ha l'ultima parola. Purtroppo per il cliente invece ce l'ha. La legge la fa e la chiarisce (non sempre) il garante ma la applica l'ispettore. Se al cliente non sta bene quanto scritto sul verbale può sempre contestare ma penso che sappiamo tutti cosa significhi. Per questo rinnovo la domanda di Bryan_Fury: te la sentiresti di evitare una semplice PEC?

    Dal punto di vista strettamente legale: che l'autocertificazione possa essere fatta sul momento è quanto di più illogico a mio avviso ci possa essere, proprio perchè va a sostituirsi ad un atto che segue tempistiche ben precise. Normalmente, quando si modifica qualcosa in una legge, si mantiene fermo ciò che non è stato espressamente cambiato. Perchè qui dovrebbe essere diverso? E poi: se non la fai sei sanzionabile (e qui penso che siamo tutti d'accordo) ma se puoi tranquillamente farla davanti all'ispettore allora sarebbero sanzionabili solo coloro che si rifiutano di farla al momento. Onestamente non vedo come ciò sia possibile. (mie opinioni s'intende)

    P.S. Criceto scrive "la baggianata della data certa che si continua terroristicamente a proporre al volgo."
    Faccio notare che a sostenere l'opportunità della data certa siamo due consulenti con una propria professionalità e che non abbiamo nessun fine terroristico al riguardo. Seppur con pochi messaggi all'attivo sto cercando di dare un contributo senza offendere nessuno e mi sembra che Bryan_Fury stia facendo lo stesso. Per me la cosa finisce qui ma non vorrei che i toni si alzassero nuovamente.

    0
  • O
    User Attivo

    Ragazzi ragazzi... certo che le temperature qui si alzano subito!
    E' se vi trovaste in un convegno dove si discute di DPS che fate? Vi menate davanti alla folla?

    Su dai.. cercate di chiarirci, almeno voi del settore, cosa è giusto e no... e gli animi bollenti mettiamoli da parte (come dice anche la linea editoriale di GT) 😄

    0
  • O
    User Attivo

    Criceto scusami ma non vorrei essere preciso fino all'eccesso ma, credo di parlare a nome di tutti quelli che - come nel mio caso - fanno ricorso al parere professionale esterno di chi più di noi comprende e tratta questi argomenti:

    è vero che il settore Leggi Italiane è tanto complesso quanto facile da interpretare con errori, ma, scusandomi anche per questo "parlare senza peli sulla lingua" mi chiedo ancora una volta:

    ma un utente che entra in questa discussione cosa va a pensare? e parlo anche di utenti che magari seguono da tempo il forum di giorgiotave...

    E' vero che ad ogni modo non si può considerare il forum, qualsiasi forum, come punto di informazioni certe eventualmente utilizzabili come prova davanti ad eventuali contestazioni da parte di ispettori o altro, ma visto che nel forum sono presenti categorie così delicate, dove è possibile ricevere almeno minime delucidazioni, vorrei capire:

    cosa deve arrivare a pensare una persona, che ignorante in materia, si mette completamente nelle vostre mani sperando che almeno qui riceverà qualche risposta alle sue domande? Risposte che se paragonate insieme lasciano comunque il dubbio?

    Alla fine come ho detto si discute e si cerca di comprendere quale possa essere la strada migliore e corretta. E non vorrei essere compreso in modo errato ma se in questa discussione intervengono 3 persone che dicono di "trattare questo argomento professionalmente" ma già queste 3 persone arrivano a "litigare sul chi ha ragione o meno"... capirai che tutta la discussione perde completamente serietà...

    Non credo sia questo il giusto modo di supportorare chi in ricerca di supporto. Non mi pare corretto nemmeno il "me ne lavo le mani" avanzato ora con il consiglio > suggerire a chi ha dubbi di rivolgersi ad esperti del ramo visto che, non vorrei ricordarlo, già qui voi vi siete firmati come "esperti del ramo offrendo ai vostri clienti un tale supporto". Allora mi chiedo: ma cosa dite ai vostri clienti?

    :ciauz:

    0
  • A
    User

    @criceto said:

    Non posso quindi che suggerire a chi ha dubbi di rivolgersi ad esperti del ramo e far fare a loro le pratiche relative e seguire scrupolosamente il loro dettato senza dimenticare di far firmare liberatoria e presa di responsabilità ai compilatori della pratica stabilendo in modo chiaro il diritto di rivalsa in caso di sanzioni, allora si che potrete stare tranquilli (almeno finanziariamente).

    Partendo dal presupposto che la Responsabilità Penale è personale anche la civile per la legge è in capo al cliente e non al consulente. La prima è non delegabile per definizione , la seconda lo è per quanto scritto nel D.Lgs. 196 (hai trovato qualche passo del decreto che faccia riferimento al consulente? Da quando in qua i documenti della Privacy li firma il consulente?)
    A mio avviso quindi non esistono liberatorie e/o diritto di rivalsa ma se mi indichi la fonte normativa mi posso informare.

    x one_to_one: hai ragione ad essere confuso.
    Neanche il consulente più bravo e rinomato del mondo può darti la certezza di essere a posto al 100%. Secondo me ad articolo si risponde solo ed esclusivamente con articolo e, nel dubbio, tutelo il cliente interpretando nel modo più stringente possibile la legge.
    Ma un altro consulente può essere talmente sicuro delle proprie idee da non ritenere di dover attuare quello che per me invece è fondamentale.
    Non esiste un modo assoluto di vedere le cose, altrimenti non staremmo qui a parlare. Anzi proprio perchè siamo tre consulenti del settore portiamo avanti ognuno un nostro ragionamento basandoci sulla nostra formazione legale. Tu puoi solo leggerli tutti e tre ed arrivare ad una tua personale conclusione. Supporto migliore non penso si possa dare.
    Personalmente ti garantisco che risponderò a tutte le tue domande come fatto fino adesso, ma ricorda sempre che è solo la MIA opinione.

    0
  • O
    User Attivo

    AleB non fraintendere il mio tono o quanto ho scritto.

    Coem ho già detto per quanto riguarda la mia attività, il mio particolare caso ho già preso la decisione che ho ritenuto più giusta.

    Però non nego di essere comunque interessato alla questione, anche rifacendomi alla mia passione/hobby di documentarmi anche sotto l'aspetto legislativo/fiscale del paese. Per questo continuo ad intervenire qui facendo altre domande o chiedendo chiarimenti o ancora cercando un punto in comune fra voi tre 🙂

    So benissimo, infine, che qui si discute e si cerca di aiutare con il proprio parere, che è sempre ben visto ci mancherebbe 🙂

    0
Effettua l'accesso per rispondere