• User Attivo
    pqa.it/index.php?option=com_content&view=article&id=215:obbligo-dinformativa-privacy-sul-sito-web&catid=34:archivio-news&Itemid=68
    

    ciao
    scusatemi, leggendo questa notizia sembrerebbe però che l'informativa debba essere anteposta alla compilazione di una qualsiasi form. Quindi dovremmo modificare le nostre pagine in questo modo:

    Pulsante richiesta informazioni -> Pagina informativa -> Pulsante Acconsento che da la possibilità di passare alla pagina con la form dei contatti.

    Inoltre ho letto che la privacy policy deve essere messa anche sui quei siti dove viene semplicemente riportato l'indirizzo email di contatto.

    Secondo voi ??


  • User Attivo

    @seven said:

    leggendo questa notizia sembrerebbe però che l'informativa debba essere anteposta alla compilazione di una qualsiasi form. Quindi dovremmo modificare le nostre pagine in questo modo:

    Pulsante richiesta informazioni -> Pagina informativa -> Pulsante Acconsento che da la possibilità di passare alla pagina con la form dei contatti.

    Secondo me, almeno da quello che leggo su quel sito...

    Su alcuni siti web è richiesto all'interessato di esprimere solo il consenso al trattamento dei propri dati, ma ciò dovrebbe essere fatto solo dopo la lettura della privacy policy; questo infatti non basta ad evitare la multa, che punisce l'omissione dell'informativa....dovrebbe essere sufficiente una checkbox non spuntata con la quale l'utente conferma di aver letto l'informativa sulla privacy.
    Ovviamente la pagina sull'informativa resta obbligatoria.

    @seven said:

    Inoltre ho letto che la privacy policy deve essere messa anche sui quei siti dove viene semplicemente riportato l'indirizzo email di contatto.

    Da quanto abbiamo detto sopra mi pare di capire che, anche senza nessun email di contatto, senza form e senza possibilità di entrare in contatto se non per telefono, è comunque necessaria l'informativa non appena si abbia un software di statistiche che raccoglie dati "personali" come l'indirizzo IP.

    Visto quindi che praticamente tutti i servizi di hosting prevedono ormai un più o meno semplice sistema di raccolta dati di accesso al sito, io direi a questo punto, con buona approssimazione, che l'informativa sulla privacy è obbligatoria sempre.

    Un dubbio che ho avuto di recente è invece sull'inserimento dell'informativa su siti personali, su piccoli blog o simili: in quel caso colui che potrebbe raccogliere i dati personali è un privato cittadino dal quale non credo si possa pretendere che solo per il fatto di avere un microsito con delle statistiche si doti di un'infrastruttura adeguata per raccogliere i dati, anche se poi non li raccoglie!

    Ma qui, come spesso accade, entriamo nell'accademico! 🙂

    Sto tentando di domandare alcune cose all'URP del Garante: per email mi hanno chiesto di chiamare un numero che squilla sempre a vuoto!


  • User Attivo

    Ciao e grazie per la tua risposta.

    Sul quel sito segnalato riporta questo

    "Su alcuni siti web è richiesto all'interessato di esprimere solo il consenso al trattamento dei propri dati, ma ciò dovrebbe essere fatto solo dopo la lettura della privacy policy; questo infatti non basta ad evitare la multa, che punisce l'omissione dell'informativa."

    Forse capisco male io ad interpretare ma dice che esprire il solo consenso non basti infatti sono stati multate le aziende.

    Per la questione semplice email sul sito, mettere l'informativa non è che pesi molto.

    Ben diversa è la questione dei blog, infatti in questi giorni anche io mi sono domandato se mettere o non mettere l'informativa sui blog. La problematica è per i privati, il blog da la possibilità di poter commentare inserendo il proprio indirizzo email, quindi se stiamo a vedere anche chi ha un sito personale, con la possibilità di ricevere dei commenti, deve essere necessaria la privacy.

    Io ora sto chiedendo maggiori delucidazioni ad uno studio specializzato in materia.


  • User Attivo

    Ciao seven,

    @seven said:

    Sul quel sito segnalato riporta questo

    "Su alcuni siti web è richiesto all'interessato di esprimere solo il consenso al trattamento dei propri dati, ma ciò dovrebbe essere fatto solo dopo la lettura della privacy policy; questo infatti non basta ad evitare la multa, che punisce l'omissione dell'informativa."

    Forse capisco male io ad interpretare ma dice che esprire il solo consenso non basti infatti sono stati multate le aziende.

    in effetti non è chiarissimo, ma io capisco così: non basta che chiedi il consenso al trattamento dei dati (anche solo 4-5 righe), ci vuole la vera e propria "Informativa sulla privacy" (un documento decisamente più completo). La multa infatti è data dall'omissione di questo documento.

    Se il documento sulla privacy è presente e nel form ti accerti che l'utente l'abbia letto o almeno esprima di averlo letto (una checkbox che senza spunta non consente l'invio dell'email), mi pare non venga violata alcuna norma.

    Per il resto, sottolineo di nuovo quello che già aveva accennato BSaett: il solo indirizzo IP è già considerato "dato personale". Basta loggare questo per essere obbligati ad inserire l'informativa sulla privacy, per questo mi pare di capire che praticamente non esiste sito che non rientri nell'obbligo.

    Ma in un blog personale il detentore dei dati raccolti sarebbe un privato, quindi addio alla sua di privacy: nell'informativa andrà indicato non solo il nome e il cognome del proprietario del blog, ma pure dove abita o almeno dove "conserva i dati"!!!

    Se riusciamo a saperne di più, scriviamo qui.
    :ciauz:


  • User Attivo

    Dimenticavo...
    Per la questione indirizzi IP, concordo sul fatto che sia un dato personale, anche se detto sinceramente potremmo discuterne tutto il giorno, dato che gli indirizzo IP dinamici per noi non sono facilmente riconducibili ad una persona.
    Mi diceva il consulente che la raccolta e la consultazione di questi dati IP e l'analisi delle abitudini o delle scelte di consumo sono da notificare al garante della Privacy.
    A vostro parere quanti lo fanno ?? Pochi o nessuno.

    Manteniamoci aggiornati.


  • Super User

    Premetto che su questi argomenti non c'è sempre concordanza di vedute. Quando ci saranno indirizzi giurisprudenziali consolidati il problema dovrebbe essere risolto.

    Al momento la questione è in questi termini, se io tratto dati personali devo mettere l'informativa, che, come dice la parola stessa, informa l'utente che fine fanno i suoi dati, quali suoi dati vengono raccolti, a chi vengono eventualmente forniti, ecc.... E' obbligatoria in presenza di dati personali, come l'ip che è cosiderato tale a livello comunitario (la questione dell'ip dinamico si pose ma si è preferito una norma più restrittiva).

    Sopra si parlava di piccoli blog, ebbene una norma specifica del codice privacy stabilisce che l'informativa non è dovuta quando i mezzi da utilizzare sono sproporzionati rispetto al diritto tutelato. In realtà non mi sovviene un caso simile, piuttosto c'è da dire che i piccoli blog generalmente sono inseriti in piattaforme specifiche (es. Blogger), dove il trattamento dei dati è realizzato dalla piattaforma, non dal gestore del blog, infatti l'informativa è presente sul sito della piattaforma. Questo in presenza di blog a semplice lettura (gli ip sono trattati dalla piattaforma), se invece si inserisce il form dei commenti con la possibilità di tracciare le mail allora necessita una specifica informativa per il blog, a carico del gestore.

    Infine, per l'analisi del traffico (ip) non mi risulta sia da notificare nulla al garante, generalmente si tratta di analisi statistiche organizzate per dati cumulativi, che non consentono l'identificazione del singolo utente. In tali casi non necessita nulla, oltre l'informativa.


  • User Attivo

    @bsaett said:

    Infine, per l'analisi del traffico (ip) non mi risulta sia da notificare nulla al garante, generalmente si tratta di analisi statistiche organizzate per dati cumulativi, che non consentono l'identificazione del singolo utente. In tali casi non necessita nulla, oltre l'informativa.

    Ciao
    ti ringrazio per le tue precisazioni, molto esaustive.
    Qui però ti devo contraddire, perchè non mi sembrano dati cumulativi, anche perchè si vede ogni singola azione, quindi interesse del visitatore.
    Spesso le aziende hanno indirizzo IP fisso e in molti lo hanno intestato. Io ho un software normalissimo di statistiche, non italiano, dove visualizza il nome dell'azienda invece in quanto l'IP è di proprietà dell'azienda.

    In rete esistono molti software simili, generalmente chiamati WHOIS per risalire al nome dell'azienda nel caso che l'indirizzo IP tracciato, diciamo, è acquistato.

    Tu hai la possibilità di ricercare dal sito del garante i casi per cui è necessaria la notifica al garante ?

    Grazie


  • Super User

    Ciao Seven,

    magari il Garante si preoccupasse di chiarire i dubbi dei semplici cittadini:(. Come dicevo stiamo nel campo delle ipotesi, per cui ti faccio la mia ipotesi.

    Dunque, il tracciamento degli Ip, per quello che ne so io dal punto di vista tecnico, non consente l'identificazione fisica di una persona, al massimo si può giungere ad una strada, anche se in genere la **localizzazione **è molto approssimativa (io talvolta risulto al largo delle coste africane).
    Per individuare il nome della persona fisica, invece, è necessario incrociare il dato (anzi i dati, ip e data + orario) con i dati del fornitore di accesso alla rete, e questi non li fornisce se non alla magistratura. Quindi, sotto questo profilo possiamo dire che l'ip da solo non serve nè a localizzare nè ad **identificare **una persona, pur essendo ritenuto un dato personale.
    Ora, la normativa (art. 37 codice privacy) prevede la notifica al garante sia nel caso di geolocalizzazione, a meno che non si tratti di rilevazione non continuativa del passaggio o della presenza di persone (ad esempio la rilevazione da telecamere a circuito chiuso). La geolocalizzazione che prevede la notifica, quindi, si potrebbe senz'altro ritenere quella che si ottiene tramite un gps, purchè sia continuativa, credo che quella ottenuta tramite ip non sia assoggettabile ad obbligo di notifica.
    Altro problema è quello della **profilazione **degli utenti, laddove per profilazione si intende l'incrocio tra dati al fine di realizzare un profilo del'utente preciso al punto da potergli inviare messaggi commerciali su misura, come accade per Adsense ad esempio.
    La profilazione su un normale blog non è possibile, perchè generalmente i dati del blog, quand'anche fossero il più completi possibili, al massimo riguardano l'ip, le pagine visitate, quelle di entrata e quelle di uscita. Un po' poco. Comunque per evitare problemi in tal senso i software di statistica del traffico in genere tendono a non incrociare tali dati, in modo che non sia possibile nemmeno una profilazione minima.

    Per quanto riguarda il caso degli ip fissi che consentono l'identificazione di un utente, credo che la cosa non cambi perchè l'identificaizone in realtà dipende da altro database in rete, non dal tracciamento del blog, ed io, quale titolare del blog devo occuparmi dei dati che tratto io non di quelli che trattano altri. Il problema, quindi, si sposta al database del Whois, che avrà chiesto l opportuno consenso al momento di pubblicare quei dati.

    Si tratta ovviamente di 3 aspetti ancora da approfondire, e sui quali discutere ancora molto, ma il mio parere per il momento è nel senso sopra descritto.


  • User Attivo

    Grazie ancora per la fantastica spiegazione.
    Però non ho capito se io pubblicato Adsense sul mio sito, o forme di guadagno che utilizzino sistemi simili a quelli di Adsense sono costretto d'inviare una notifica al garante.

    Secondo quanto hai scritto appena prima parrebbe di no perchè non sono io il responsabile degli annunci di Facebook, anche se ricordo che nella privacy policy ho messo qualcosa proprio inerente a google Adsense... dovrei vedere bene.

    Grazie ancora


  • Super User

    Nell'informativa dovrai specificare che usi AdSense o Analitics, o quello che è, indicando chiaramente che i dati vengono trasferiti a loro (si tratta anche di trasferimento al di fuori dell'Europa).


  • User Attivo

    Grazie ancora
    Ma se io dovessi fornire ai clienti un software, da me realizzato, dove do ai miei clienti, accedendo ad un area riservata, la possibilità di poter visualizzare i click ricevuti sui loro prodotti, presenti su un mio sito, dove vengono riportati:

    • indirizzo IP
    • prodotto clikkato
    • ora dell'azione

    dovrei quindi fare una notifica al garante ?

    Stavo pensando che se la stessa domanda è da farsi se utilizzo un softare come Openx, per la gestione di campagne banner o se sul proprio server si installa un software di statistiche di terze parti.

    Grazie ancora....


  • Super User

    Ciao Seven,

    in questo caso mi sembra una profilazione. Credo necessiti la notifica.


  • User Attivo

    Permettetemi di tornare su un aspetto in particolare:

    @bsaett said:

    Mi spiego, se tu fai il sito e poi basta, allora non sei responsabile di nulla, ma se la gestione in qualche modo è anche di tua competenza (il cliente ti chiede di inserire un articolo...) allora sei (potresti essere) responsabile o corresponsabile.

    PS Nell'informativa indichi quale titolare e responsabile della privacy il cliente, immagino!

    Ho saputo da poco che il mio cliente per il quale - ribadisco - ho solo realizzato il sito web, in parte fatto di pagine statiche create da me, in parte composto da un piccolo CMS che permette loro di inserire delle news e degli articoli in modo autonomo... dicevo, il mio cliente ha effettivamente ricevuto la multa dalla GdF per l'assenza dell'informativa sulla privacy. Mi ha anche detto che ha fatto ricorso, ma a parte questo la cosa che mi dispiace di più è che sostiene che è colpa mia.

    Ho fatto notare che, come minimo, sarei corresponsabile del mancato inserimento dell'informativa: anche loro non mi hanno mai chiesto se ci va o no, non si sono preoccupati per niente di questo aspetto.

    Cosa ne pensate? Posso essere considerato corresponsabile di questa mancanza, anche se non sono il gestore di nessun contenuto presente nel sito? Sono forse obbligato (sottolineo: "obbligato", per legge) a conoscere tutta la materia legislativa che riguarda più o meno da vicino il mio lavoro di creazione di siti web?

    Scusate la lungaggine, ma credo sia importante essere molto chiari.
    Grazie naturalmente a BSaett e a chiunque vorrà rispondermi.


  • Super User

    Ciao Tonino,

    la risposta è no, non esiste alcun obbligo di legge in tal senso.


  • User Newbie

    Ciao a tutti!
    Considerando di inserire correttamente la pagina dedicata alla privacy, con una sezione che ne spiega correttamente l'informativa, una sezione che spiega delle statistiche di accesso di Google Analytics e una di Google AdSense e che ne rimanda ai relativi siti, in un normalissimo sito web che tratta di annunci immobiliari/auto/moto, di tipo gratuito per l'utente ma con inevitabile registrazione tramite nome, cognome, email e nome-utente è necessario inviare una notifica al garante della privacy? E redarre quindi un documento DPS in merito!? è veramente complicato capire bene in quali casi è obbligatorio e in quali non è necessario...
    Leggendo l'articolo 37 del codice della privacy e le relative categorie escluse dall'obbligo di notifica parrebbe che fornendo beni o servizi (nel caso di quel sito, un servizio gratuito, direi...) non vi sia quest'obbligo ma solo quello di inserire un'informativa sulla privacy. Secondo voi?


  • Super User

    Ciao Uelaa,

    dagli elementi che fornisci credo non sia affatto necessaria una notifica al Garante del trattamento che fai. E' invece necessario che vi sia una informativa privacy completa e che sia accettata (consenso) dagli utenti al momento della registrazione al sito.
    Il Dps va redatto in tutti i casi in cui sia realizzata il trattamento di dati personali con strumenti elettronici, per cui ritengo che sia il tuo caso.


  • User Newbie

    Grazie bsaett per la risposta!
    Dovrei chiedere ancora questo: se durante la registrazione al portale, venissero separate le tipologie di utenti in privati (nome,cognome,email) ed in professionisti(nome azienda,nome e cognome titolare,partita iva e sede legale), vale sempre il medesimo discorso? Nel senso, è sufficiente il DPS e l'informativa esaustiva? Ciao e grazie ancora.


  • Super User

    Non vedo differenze. Giusto per essere precisi chiarisci nell'informativa le modalità di trattamento dei due tipi di dati.


  • User Newbie

    Volevo aggiungere qualcosa , ieri una cliente mi ha chiesto di inserire l'informativa sulla privacy nel form, perchè il consulente gli ha chiesto di farlo. io suo contact form 7 su wordpress.

    Ma ho usato joomla per tre anni e ho parecchi siti da sistemare , a questo punto attendo che mi chiamino o gli invio una mail avvisandoli ?

    Doppio dubbio ....

    Detto questo per un portale che ho realizzato mi sono appoggiato a IUBENDA.com , che genera un Informativa sempre aggiornata, la cosa assurda che lo stesso iubenda che pare risolva il problema dell'informativa fornisce una semplice pagina html che aggiorna e gestisce per ogni sito .

    Se il server iubenda , è down, non avremo l'infomrativa visibile e aggiornata.
    Oltretutto non è previsto un checkbox da splittare.

    Eppure Iubenda sembra un ottima soluzione proprio perchè aggiorna le varie policy e i servizi che ogni sito raccoglie da analytics a facebook a twitter manlevando cosi il titolare dei dati personali da altri problemi .

    La cosa che mi fa sorridere è questo scarica barile , continuo , il titolare del trattamento dei dati nomina google facebook discqus ecc dicendo che sono loro a raccogliere i dati , l'hosting fa lo stesso, il cms , wordpress o joomla , idem , praticamente , la responsablitià è sempre di altri .

    La materia è veramente vasta.

    Ora mi chiedo chi dovrebbe scrivere l'informativa della privacy ?
    Il Webdesigner . il consulente sulla privacy ? o un avvocato ?
    Perchè ogni volta che attivo un modulo su un CMS vedi analytics , o facebook o altro , l'informativa andrebbe aggiornata.

    Praticamente è impossibile avere un informativa sempre perfetta, questo quello che penso , ammeno che uno non si rivolga a servizi come Iubenda che però gerano una semplce pagina html che andrebbe splittata o chekkata prima dell'inserimento dei dati in un form .

    Qualcuno può consigliarmi un plug-in form su wordpress che risolva il problema e che prima dell'invio obblighi lo split-check di un pulsante per l'informativa?

    Grazie , discussione cmq interessantissima .

    Credo che il paragone ti vendo la macchina poi se la guidi ubriaco a 200 contromano non mi riguarda , sia la risposta giusta per ogni webdesigner.


  • Super User

    Ciao Fpdesign,

    sinceramente non ho capito quale è la domanda. Per le questioni tecniche (joomla, wordpress, plugin....) non è questo il forum giusto.
    Per le questioni giuridiche l'informativa va in ogni sito che tratta dati personali altrui. Quello che definisci "scaricabarile" è un normale passaggio di dati. Se io mio sito utilizza Google Analytics io devo avvertire (nella mia informativa) che i dati salvati dal plugin del mio sito vengono poi passati a Google Analytics. In questa vicenda ci sono quindi 2 trattamenti, quello del mio sito (conservazione e passagio di dati) e quello di Google Analytics per il quale ovviamente risponde Google. Però i miei utenti devono sapere che i dati vengono da me passati a Google altrimenti l'informativa è carente e in violazione delle norme.
    Un ultima cosa, il webdesigner fa il sito, quindi non tratta alcun dato, è il gestore del sito che deve l'informativa.