679/16 EU GDPR

Ciao, se hai già le informative per la 196/2003 ti do una bella notizia, non vanno più bene quindi vanno rifatte, TUTTE :-D

La 679/2016 prevede altre tipologie di trattamento dati e si concentra esclusivamente sul dato personale.

Bella notizia davero! Questo, anche se il sito non fa capo a un'azienda ma a una persona fisica?

Io ho questa informativa, ormai da alcuni anni (e che tra l'altro ancora non è mai stata modificata): www.imim.it/node/345
Dal sito non è possibile fare acquisti online, ma l'utente che si registra (come specificato nell'informativa) riceve la newsletter.
Qualcuno saprebbe darmi informazioni circa la possibilità di mantenere l'informativa così come è oppure se necessario modificarla? E in quali punti?

Sì, la legge non prevede distinzione tra sito aziendale e persona fisica, se raccogli dati personali devi indicare, mediante un'informativa adeguata, perché li raccogli e come (l'utente) possa verificare i consensi che ha dato, come li possa modificare e come possa cancellare i propri dati (diritto all'oblio).
L'informativa che hai linkato, come già detto, non va più bene e va adeguata alla 679/2016, non devono e non possono più essere "accorpati" in un'unica scelta le varie finalità di utilizzo dei dati (nel tuo caso, se uno si registra sul sito non deve essere inserito AUTOMATICAMENTE anche alla registrazione newsletter, due box separati).

I punti da modificare sono, sicuramente, tutti quelli che fanno riferimento alla 196/2003, poi bisogna analizzare un po' il sito, capire cosa te ne fai dei dati che raccogli, per quanto tempo li conservi, le modalità di visualizzazione/modifica/cancellazione per l'utente ecc. ecc. ecc. insomma, bisogna seguire il nuovo Regolamento Europeo ed applicarlo.

Sarebbe molto utile poter creare una sezione apposita per il GDPR.

Segnalo che esistono diversi moduli per la rendere il proprio sito conforme o controllarne la conformità:

https://www.drupal.org/search/site/gdpr?f[0]=ss_meta_type:module

Da non dimenticare che ci sono nuovi obblighi verso chi si registra al tuo sito tra i quali:

1. ottemperanza al diritto all'oblio: l'utente deve poter cancellare completamente i propri dati personali (ad esclusione di quelli necessari ad assolvere a compiti amministrativi / legali, sempre tenendo conto del tempo massimo per cui tali dati sono effettivamente necessari).

2. diritto a ricevere copia completa in formato intellegibile di tutti i suoi dati che si hanno a disposizione.

Particolare attenzione andrebbe fatta anche ai Webform, che trattengono molti (spesso anche troppi per alcuni form di contatto..) dati sensibili per sempre (a meno di non eliminarli manualmente).

Ragazzi, se volete posso chiedere ai legali che seguono con me il progetto GDPR e aprire una sezione dedicata qui sul sito dove potreste ricevere risposte, che ne pensate?

Il problema è che così ci tagliano le gambe!

Volentieri, dato che la materia è importante e tocca tutti da molto vicino.

Come spazio di condivisione apriamo un gruppo?

@ Niubbo75 

Ragazzi sono rientrato solo ora a casa (GDPR addicted e sempre FULL IMMERSION!!!!), faccio la proposta agli avvocati che mi seguono nel progetto e, se disponibili, apriamo la sezione qui.

@Mau: se aderiscono ti passo i due nick e vediamo di metterle in evidenza come riferimento.

Ciao a tutti.

@manuu: no, fidati, non è così "impossibile" come sembra ;-)

Ho creato un nuovo book raggiungibile dal menù primario (http://www.drupal.it/gdpr).

Si potrebbe appuntare lì le varie cose creando una sorta di guida, continuando a commentare su questo thread o eventualmente sotto i post del book per le correzioni.

Proporrei una struttura del genere:

Una intro del tipo "cos'è il gdpr e cosa cambia nel mondo dell'IT". Non sarebbe male appuntare gli articoli più importanti e scriverne il significato in maniera chiara e semplice, magari con esempi.

Poi a seguire una serie di sottosezioni suddivise per "attività svolta", tipo "Hosting provider", "SaaS provider", "Site builder", "Site owner", "Manutentore" ... specificando per ognuna quali sarebbero gli obblighi secondo il nuovo regolamento.

Sarebbe interessante reperire poi una serie di info su come scegliere correttamente un provider "GDPR compliant".

A seguire una lista di moduli per rendere il proprio sito Drupal conforme.

Ultimo ma non meno importante una lista di modelli delle documentazioni necessarie al GDPR.

Ovviamente è solo un'idea.. compatibilmente con le mie attività cerco almeno una volta al giorno di seguire questo thread.

PS. mi viene in mente anche una suddivisione per "tipo" di piattaforma: "Blog", "E-commerce" e quanto altro ...

Io ho questa informativa sul modulo contatto:
www.imim.it/contact

Inoltre, però, ho installato il modulo social share che mi permette, su ogni articolo (vedi ad esempio www.imim.it/node/447) a fondo pagina la possibilità di inviare per posta elettronica l'articolo stesso a qualunque contatto in rubrica o non in rubrica. Ci sono problemi, per questo?

Ciao, cito la tua informativa e la commento:

Cliccando sulla casella INVIA MESSAGGIO i dati personali forniti dall'utente saranno acquisiti dall'Amministratore di sistema di IMIM che li tratterà, in qualità di Titolare, mediante strumenti cartacei, informatici e telematici, per dare seguito alla richiesta di contatto.

Domanda, hai motivo di trattare i dati anche in formato cartaceo? Se sì, ok e devi spiegarne la ragione, se no levalo dall'informativa

In qualunque momento l'utente potrà chiedere la cancellazione o l"aggiornamento dei propri dati come previsto dall"art. 7 della legge sulla privacy, per iscritto, a mezzo di lettera raccomandata con avviso di ricevimento all'indirizzo: via A.Baccarini, 9 - 52045 Foiano della Chiana (AR) -, ovvero via mail all'indirizzo posta@imim.it (purché seguito entro 48 ore dall'invio di lettera raccomandata a/r).

no, qui non ci siamo proprio, ti cito parte del regolamento, quello che parla del diritto all'accesso ai dati (consideranda 59):

È opportuno prevedere modalità volte ad agevolare l'esercizio, da parte dell'interessato, dei diritti di cui al presente regolamento, compresi i meccanismi per richiedere e, se del caso, ottenere gratuitamente, in particolare l'accesso ai dati, la loro rettifica e cancellazione e per esercitare il diritto di opposizione. Il titolare del trattamento dovrebbe predisporre anche i mezzi per inoltrare le richieste per via elettronica, in particolare qualora i dati personali siano trattati con mezzi elettronici. Il titolare del trattamento dovrebbe essere tenuto a rispondere alle richieste dell'interessato senza ingiustificato ritardo e al più tardi entro un mese e a motivare la sua eventuale intenzione di non accogliere tali richieste.

oltre quanto scritto sopra, l'articolo che hai indicato è errato, infatti non è il 7 ma il 13 e, nello specifico, dove si parla del diritto alla cancellazione è il paragrafo 2 lettera b, che qui ti cito:

l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

In sostanza devi rivedere la tua informativa, il consiglio è di renderla il più semplice possibile. specialmente nella comprensione, come espressamente richiesto da Regolamento Europeo 2016/679

Scusate... io, se accedo al mio sito come amministratore, posso vedere le statistiche di accesso (dell'amministratore) a tutte le pagine del sito stesso. Se accedo con altro utente, invece, no. Sapreste dirmi come poter abilitare tale "pulsante" anche per tutti gli altri utenti? Se ho ben capito, per la nuova privacy è importante poter fornire tali dati agli utenti che ne fanno espressamente richiesta

Ciao, se fornisci tali dati significa che li registri, se li registri devi fornire l'informativa che vada a spiegare il motivo per il quale esegui questa profilazione (perché di profilazione si tratta) andando ad indicare il periodo di conservazione dei dati e richiedendo, di conseguenza, il relativo consenso agli utenti.

Se non hai interesse a conservare tali dati (al di fuori dei limiti dell'obbligatorietà di legge, perché se un determinato utente scrive qualcosa che è perseguibile per legge, devi poter fornire alle autorità preposte i log di chi ha effettuato tale pubblicazione) allora ti conviene evitare di renderli accessibili ai vari utenti, li mantieni solo ed esclusivamente per questioni legali.

Informativa arrivatami questa mattina da una casa editrice per e-mail:

Gentile Cliente,

in considerazione dell'entrata in vigore del Regolamento generale sulla protezione dei dati dell'Unione Europea abbiamo aggiornato la nostra informativa sul trattamento dei dati personali e adottato le altre misure richieste per rafforzare la tutela della sua privacy, in linea con il nostro impegno costante per garantire la massima riservatezza ai dati dei nostri clienti.

La invitiamo dunque a prendere visione dell'Informativa e le ricordiamo che è suo diritto modificare in qualsiasi momento i consensi rilasciati quanto al trattamento dei suoi dati da parte di [...]

Potrà farlo agevolmente inviando una email a [...]

 A questa email potrà anche contattarci per ogni informazione relativa al trattamento dei suoi dati da parte di [...] e per esercitare i suoi diritti alla cancellazione degli stessi.

Se deciderà di non apportare modifiche continueremo a gestire i dati e i consensi rilasciati nel pieno rispetto delle nuove norme.

La ringraziamo e le porgiamo i più cordiali saluti

Informativa, informa ma NON serve a raccogliere il consenso.

Se deciderà di non apportare modifiche continueremo a gestire i dati e i consensi rilasciati nel pieno rispetto delle nuove norme.

Questa forma è ammessa, ti hanno prima informato (l'informativa) poi ti comunicano che se non apporterai modifiche ai consensi che hai rilasciato, loro continueranno come hanno fatto fin'ora trattando i tuoi dati come previsto dal nuovo Regolamento Europeo. Di queste informative ne stanno arrivando parecchie, sono "standard" e volendo potresti utilizzarne una simile anche tu da inviare agli iscritti al tuo sito. Ciao.

@Niubbo75,

non devono e non possono più essere "accorpati" in un'unica scelta le varie finalità di utilizzo dei dati (nel tuo caso, se uno si registra sul sito non deve essere inserito AUTOMATICAMENTE anche alla registrazione newsletter, due box separati).

Scusa, ma se io nell'informativa alla registrazione SPECIFICO che registrandosi al sito, l'utente accetta... bla bla bla (tutte le condizioni)??

Non puoi fare accettare tutte le finalità di raccolta dati con un unico consenso, i consensi devono essere separati per ogni finalità di raccolta dati, esempio:

e non possono essere "pre flaggati", deve essere l'utente a poterli selezionare così come non puoi rendere obbligatori tutti i consensi per far procedere con l'iscrizione al sito (o l'erogazione del servizio richiesto) se i dati non sono strettamente necessari (vedi, ad esempio, invio di comunicazioni marketing e vendita a terzi).
Ciao