• Contributor

    @claudiosaitta ha detto in Richiesta di rimozione ex art. 17 GDPR:

    @kal grazie mille per averci risparmiato a tutti lo sbatti di redarre il testo, copio e incollo volentieri

    🙈🙉🙊

    😀

    E come dicevo al mio compagno di banco al liceo: "almeno cambia qualcosa oh".

    @luca no, la richiesta è legittima, ma deve mandarmi una mail direttamente dalla sua casella di posta, non può raccogliere cosi indirizzi email, con lo stesso principio per cui noi dobbiamo chiedere il consenso per l'invio di newsletter, a maggior ragione se utilizziamo servizi di terze parti come mailchimp, il fatto di usare limesurvey con la scusa di essere in UE non vuol dire assolutamente nulla. Come ho commentato nella video intervista tra matteoflora e guido scorza, ha inserito la mail che è un dato personale (non sensibile) su un servizio di terze parti senza il consenso dell'interessato. Non difendiamo l'indifendibile. Se il Leva vuole atteggiarsi a paladino della GDPR, che se la studi prima.

    ESATTO!!!


  • User Attivo

    Io penso che i dati debbano essere contestualizzati, non ce ne siamo mai preoccupati, noi e il legislatore ed è per questo che la mail ci manda in confusione.

    Ora vero che ogni persona è proprietaria di quei dati.
    Ma se io faccio un acquisto e pago con il bancomat e chiedo una fattura, non posso far rimuovere i miei dati.
    E' palese, c'è stata una transazione che deve essere registrata.

    Ora il mio sito web quanto vale?
    Vale di più se ho molti visitatori, per avere molti visitatori faccio il sito ad accesso gratuito.
    Ma come dimostro che ho tanti visitatori?
    Utilizzo GA4 che è o sarà uno standard condiviso.
    Il pratica il lettore fa una transazione con me dove riceve un contenuto gratis e mi fornisce i dati per dare più valore l sito.

    Ora l'art.17 sull'oblio non ci riguarda, sulla rimozione dei dati riporta:
    i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
    Ora se aggiungo nella policy un informativa del tipo:
    Accettando questa policy acconsenti a trasferire in modo irreversibile i dati a Google Analytics e Adsense e i relativi servizi collegati. 
    I dati su G4 sono rimossi dopo 2 mesi dall'ultima visita.
    Il blocco dei dati di servizi terzi deve essere gestito in autonomia dal lettore attraverso le impostazioni del proprio browser.

    Si risolve il problema dell'art.17?


    kal C 2 Risposte
  • Contributor

    @infermieri-attivi ha detto in Richiesta di rimozione ex art. 17 GDPR:

    Il pratica il lettore fa una transazione con me dove riceve un contenuto gratis e mi fornisce i dati per dare più valore l sito.

    Enzomma. Mica è così. Sarebbe una transazione se tu stipulassi un contratto che dice "accetti di farti tracciare per leggere questo contenuto", ma (per la sorpresa di assolutamente nessuno) questo tipo di contratto è illegale.

    Devi sempre dare la possibilità di rifiutare il tracciamento verso terzi.


    C 1 Risposta
  • User

    @infermieri-attivi non è esattamente cosi semplice, bisogna distinguere la base legale:
    è necessario per l'esecuzione dell'accordo con l'interessato? (classica richiesta tramite form di contatto)
    oppure hai ottenuto il consenso facoltativo? (invio newsletter)
    o magari sei obbligato dalla legge o è necessario per una questione di interesse pubblico? (l'esempio della banca che hai fatto)
    o magari è proprio di tuo legittimo interesse? (potrebbe essere il google recaptcha) o ancora è necessario per questioni di salute? (ambito medico) la legge distingue chiaramente questi casi, non puoi usare la base di uno per un altro, o meglio puoi provarci, alla fine sta sempre al giudice dichiarare se avevi ragione, purtroppo sempre di scienze molli parliamo.
    Vi consiglio di seguire un corso sulla GDPR, perchè purtroppo non essendo dei veri e propri legali faremo sempre confusione, già semplicemente con la nomenclatura, non distinguendo tra titolare del trattamento, responsabile del trattamento, dpo, consenso, interessato, dato personale, dato sensibile, dato particolare, ecc....


  • User

    @kal ha detto in Richiesta di rimozione ex art. 17 GDPR:

    @infermieri-attivi ha detto in Richiesta di rimozione ex art. 17 GDPR:

    Il pratica il lettore fa una transazione con me dove riceve un contenuto gratis e mi fornisce i dati per dare più valore l sito.

    Enzomma. Mica è così. Sarebbe una transazione se tu stipulassi un contratto che dice "accetti di farti tracciare per leggere questo contenuto", ma (per la sorpresa di assolutamente nessuno) questo tipo di contratto è illegale.

    Devi sempre dare la possibilità di rifiutare il tracciamento verso terzi.

    dipende anche qui dalla base giuridica, con l'esempio della banca (per elaborare il pagamento tramite pos devi "uscire" dal negozio e dare a terzi (la banca del pos) i tuoi dati, in tal caso non puoi ne rifiutare ne c'è la necessità di ottenere e registrare il consenso.


  • User Attivo

    Prima di rendere la questione complicata, partiamo con un modello semplice.
    Chi con 50 euro apre un sito wordpress e inizia a scrivere.
    Chiaramente è il responsabile del trattamento dei dati, raccoglie i dati con GA4 per vedere come va il sito e mette adsense per fare 2 soldi.
    Esempio di caso semplicissimo che con la GDPR sta diventando assurdo per le minacce di sanzioni e si sta chiudendo un settore del web.

    Chi naviga ha un indirizzo IP che non è un dato suo gli è dato dal suo gestore di telefonia, altrimenti ci rinuncia e non naviga nel web.
    Quell'IP è un numero automatico che il gestore cambia a suo piacere a seconda delle tecnologie e della cella da cui si collega il nostro navigante.
    Io ho il sito e se l'utente si registra chiaramente l'indirizzo IP è associato ad una mail ed a un nome.
    Quindi dal sito io posso tramite la procedura del CMS far cancellare tutti i dati personali.
    Ma le statistiche di GA4 sono al di fuori del mio controllo, io posso solo decidere se usare quel codice o meno, lo stesso con le statistiche di chiunque altro, io posso vedere solo i report aggregati.
    L'IP è indispensabile per navigare e il server che riceve la chiamata deve sapere da chi arriva, non può non esserci l'IP, UA aveva un solo difetto che trasferiva i dati negli States dove le leggi sono diverse.
    GA4 se io scrivo al lettore che i dati sono usati per 2 mesi e ciccia, rispetto l'art.17 perchè io ti devo informare e tu navigante non sei tenuto ad usare un internet free, puoi acquistare un abbonamento di repubblica e leggerti quello, o no.
    L'articolo 17 https://www.altalex.com/documents/news/2018/04/12/articolo-17-gdpr-diritto-all-oblio


    kal C 2 Risposte
  • Contributor

    @infermieri-attivi ha detto in Richiesta di rimozione ex art. 17 GDPR:

    Ma le statistiche di GA4 sono al di fuori del mio controllo, io posso solo decidere se usare quel codice o meno, lo stesso con le statistiche di chiunque altro, io posso vedere solo i report aggregati.

    No, ci sono le procedure di rimozione.

    Sono basate non sull'IP, ma su due informazioni:

    • il valore del Client ID (salvato nel cookie)
    • un intervallo temporale

    Se chi fa la richiesta di rimozione ti fornisce una o entrambe queste informazioni, tu puoi ottemperare alla richiesta.

    Ovviamente vanno richeste e devono essere fornite.


  • User

    @infermieri-attivi ha detto in Richiesta di rimozione ex art. 17 GDPR:

    Prima di rendere la questione complicata, partiamo con un modello semplice.
    Chi con 50 euro apre un sito wordpress e inizia a scrivere.
    Chiaramente è il responsabile del trattamento dei dati, raccoglie i dati con GA4 per vedere come va il sito e mette adsense per fare 2 soldi.

    è responsabile assieme a Google che diventa coresponsabile del trattamento

    Chi naviga ha un indirizzo IP che non è un dato suo gli è dato dal suo gestore di telefonia, altrimenti ci rinuncia e non naviga nel web.
    Quell'IP è un numero automatico che il gestore cambia a suo piacere a seconda delle tecnologie e della cella da cui si collega il nostro navigante.

    non neccessariamente l'ip è dinamico, può essere anche statico e facilmente riconducibile all'azienda che lo ha registrato come statico nella maggior parte dei casi, semplicemente digitando l'ip su google + whois, solo nel primo caso è una sorta di dato personale pseudonimizzato in quanto i dati dell'utente li ha il provider.

    Io ho il sito e se l'utente si registra chiaramente l'indirizzo IP è associato ad una mail ed a un nome.

    l'ip che serve per la connessione client-server non necessariamente devi registrarlo su un tuo database, se lo fai devi avere un valido motivo (es. legittimo interesse, che non lo scegli a casaccio, deve essere davvero tale)

    Quindi dal sito io posso tramite la procedura del CMS far cancellare tutti i dati personali.

    Ma le statistiche di GA4 sono al di fuori del mio controllo, io posso solo decidere se usare quel codice o meno, lo stesso con le statistiche di chiunque altro, io posso vedere solo i report aggregati.
    L'IP è indispensabile per navigare e il server che riceve la chiamata deve sapere da chi arriva, non può non esserci l'IP, UA aveva un solo difetto che trasferiva i dati negli States dove le leggi sono diverse.
    GA4 se io scrivo al lettore che i dati sono usati per 2 mesi e ciccia, rispetto l'art.17 perchè io ti devo informare e tu navigante non sei tenuto ad usare un internet free, puoi acquistare un abbonamento di repubblica e leggerti quello, o no.

    ti ha già risposto kal per quanto riguarda la cancellazione, ma in generale (che ci piaccia o meno) non è cosi, se l'utente è d'accordo con i cookie di profilazione, gli installi i banner adsense profilati, altrimenti, nessuno ha detto che non devi mostrare i banner di adsense, bensi gli devi mostrare quelli contestuali, non profilati.

    tralasciando il fatto che se parti con 50 euro come da esempio, e quindi si presuppone che le tue visite mensili siano al massimo qualche decina di migliaia al mese, tanto vale che lasci perdere adsense personalizzato, in quanto se lo fai devi tenere traccia del consenso, e ti costa di più implementare una CMP con tanto di registro dei consensi ottenuti, ci sono plugin che ti costano una 40ina di euro l'anno, e magari le tue entrate erano 100 euro l'anno.

    sto dicendo che è bello e giusto? assolutamente no, non sta a me fare considerazioni legali, ma questa è la minestra, se non altro si toglierà (spero) di torno qualche cuggino che "ti installo wordpress + template + millemila plugin = web is my passion"


  • Contributor

    Ragazzi, per la cronaca, mi ha risposto Leva alla mia SECONDA email (quella in cui IO esercitavo i MIEI diritti). Non vi copio-incollo perché è corrispondenza privata e non si può, ma vi faccio la parafrasi...

    Sostanzialmente Leva mi dice:

    1. che non ritiene che la mia richiesta sia legalmente valida
    2. che mi risponde per "spirito di collaborazione" (sic.)
    3. mi comunica che l'istanza di Limesurvey è stata cancellata, anche se non è in grado di dirmi con certezza se i dati sono stati rimossi

    Dimentica di rispondermi su una delle cose che gli ho chiesto, ovvero di sapere quali altri miei dati personali aveva salvato nella sua banca dati.

    Lascio a voi ogni commento, io mi limiterò solo a dire: Reverse GDPR effettuato con successo.

    Credo che non gli risponderò, non merita nemmeno un altro minuto del mio tempo.


  • Ok, questo Luca ha scritto che vuole che cancelliamo i suoi dati e da gdpr noi dovremmo sapere quali dati abbiamo ma visto che non tracciamo dati direttamente riconducibili ad una persona (nome, cognome, email) con analytics secondo lui come dovremmo fare? Lui sa che ha navigato il sito (anche se sicuramente con bot automatici) ma noi non sappiamo direttamente chi ha navigato, solo google ha ip (teoricamente incompleto).

    Un conto è la legge e mi sta benissimo rispettare tutte le leggi del mondo, ma un conto è la limitazione tecnica delle varie piattaforme. Siamo sempre noi sempre responsabili delle tecnologie che usiamo o la palla balza a google?

    Ma visto che stiamo passando a GA4 o altre piattaforme, direi che ormai cancellando gli account GA3 (che immagino verranno comunque cancellati automaticamente nel 2023) siamo a posto anche per eventuali altre richieste simili.