GDPR in pratica?

[Alhazred]

Avete qualche link che invece di parlare legalese mi dica chiaro e tondo che caspita devo prendere in considerazione per questo benedetto GDPR?
Colpa anche delle pratiche SEO, trovo solo articoli lunghi una quaresima che dicono bla bla bla e non vanno al dunque.

Cerco una cosa che risponda a domande del tipo:
- ho un sito che non usa cookie, solo Google Analytics, basta solo dire che uso cookie di analisi del traffico e chiedere se attivarlo?
- ho un sito che permette di registrarsi e fornire dati quali email e link social, che devo spiegare agli utenti?
- ho un sito con un modulo contatti in cui si deve fornire un indirizzo email, ma non verrà salvato da nessuna parte, ho qualche obbligo?
ecc...

[chumkiu]

http://www.garanteprivacy.it/web/gue...dati-personali

Pensa agli utenti come a degli amici che si confidano con te su argomenti che nessuno deve sapere. E regolati di conseguenza.

Comprende:

1) Informare gli utenti su chi, come, cosa e perché può leggere le loro informazioni sui tuoi sistemi.
1.1) Quindi meno gente accede a questi dati, meglio è. Gli sviluppatori possono usare database test anonimizzati.
1.2) Devi mettere la checkbox in fase di inserimento dati ("Ho letto e accetto le condizioni bla bla").
2) Prendere dagli utenti solo i dati necessari (se non ti serve il codice fiscale, non chiederglielo)
3) Dare la possibilità agli utenti di sapere quali sono i loro dati in tuo possesso
3.1)Dare la possibilità agli utenti di avere una copia di questi dati. In un formato leggibile (pdf) e portabile (csv, xml)
3.2) Poter cancellare i dati qualora l'utente volesse.
4) Garantire agli utenti livelli di sicurezza standard (hash delle password, librerie aggiornate, buone pratiche di progettazione)
4.1) Avere un sistema di monitoring: devi sapere se hai avuto una falla e qualcuno è entrato nei tuoi sistemi. E qualora succedesse devi comunicarlo agli utenti entro 72 ore.

Insomma devi gestirli in modo paranoico e non alla leggera. Com'è giusto che sia.

C'è da dire che tutto questo viene applicato solo alle aziende e non alle persone fisiche che hanno un progetto per uso domestico (Capo 1, Articolo 2.2)
Quindi se hai un progetto personale, la legge non si applica, a meno che con questi progetti non fornisci dati ad aziende terze. Per esempio se crei una app che interagisce con facebook e l'utente inserisce sulla tua app dei dati che poi finiscono nei sistemi di Facebook allora sei tenuto a degli obblighi previsti dalla legge (più leggeri).

Altra nota: si applica a TUTTE le aziende che gestiscono dati personali. Non solo ai siti web.
Per esempio il 26 Maggio telefonerò alla pizzeria da cui mi faccio portare le pizze a casa: So che hanno salvato nei loro computer almeno il mio cognome, numero di telefono e indirizzo perché ogni volta che chiamo non c'è bisogno che lo dica.
Posso chiedere un export dei miei dati in loro possesso. Magari hanno anche la history delle pizze che prendo.
Chi lo sa.

[Darksky]

h
C'è da dire che tutto questo viene applicato solo alle aziende e non alle persone fisiche che hanno un progetto per uso domestico (Capo 1, Articolo 2.2)
Quindi se hai un progetto personale, la legge non si applica, a meno che con questi progetti non fornisci dati ad aziende terze. Per esempio se crei una app che interagisce con facebook e l'utente inserisce sulla tua app dei dati che poi finiscono nei sistemi di Facebook allora sei tenuto a degli obblighi previsti dalla legge (più leggeri).

pheeeew.... era quello che mi serviva sapere

[rebelia]

...

grazie per lo spiegone; come ci si regola per i dati che raccogli per *fare* il lavoro? perche' di solito i clienti mi danno i loro dati per registrare i dominii e cose del genere; altra domanda: si applica anche ai dati di accesso ai dominii, giusto? sempre dati aziendali sono (scusate la domanda niubba, ma - come dice alhazred - e' un casino trovar risposte)

[astro]

Pensa agli utenti come a degli amici che si confidano con te su argomenti che nessuno deve sapere. E regolati di conseguenza.

...

Quella di tentare di seguire prima delle norme stesse la loro "ratio" è un ottimo consiglio, e può certamente aiutare.

Ma purtroppo fin lì... perchè poi, nel concreto, le valutazioni che possiamo fare noi di un certo aspetto vanno a risultare ben diverse (diciamo superficiali) di fronte ad un'analisi generale (fatta da un giudice, o dal legislatore stesso) data dai vari casi concreti più disparati (ed estremi).

Vale però il senso di quello che dice Chumkiu, che è poi esattamente la regola di interpretazione delle norme che fanno giudici ed avvocati, ovvero interpretare la singola norma principalmente in relazione alla ratio dell'insieme delle norme nel quale quella norma è inserita.


NB Sicuramente non è semplicissimo legiferare su questioni come quelle che nascono dal web, ma è anche vero che buona parte del problema credo risieda nella poca chiarezza applicativa che coinvolge sia il legislatore stesso (che emanata una norma la dovrebbe seguire nei primi mesi/anni come un bebè, emanando eventuali emendamenti correttivi ed interpretazioni autentiche) che il sistema giudiziario, con le sue tempistiche non proprio brevi, e la necessità di ogni procura di avere giudici -e PM- specialisti negli argomenti informatici, pena l'ulteriore allungamento (e difficoltà) del giudizio (e quindi di una linea guida giurisprudenziale su quel dato argomento)
Anche il recente caso dei cookie è stato (credo di parlare al passato ormai) un bel casino...

[dreddb]

Spero possa esservi utile, di seguito il link di un articolo interessante dove viene spiegato in pratica, cos'è la normativa europea GDPR.

https://tecnoarena.net/cose-la-norma...-a-cosa-serve/

Mamma mia quanta burocrazia...

[Alhazred]

E' proprio questo il problema di tutti gli articoli che sono online riguardo il GDPR, compreso quello che hai proposto che quindi va nel mucchio, dicono tutti cosa sia e perché è stato introdotto, ma ce ne fosse uno che dice chiaro e tondo cosa fare praticamente, qualcosa che risponda alla tipologia di domande che ho scritto nel primo post.

[dreddb]

Forse, nessuno sa come muoversi ancora in maniera pratica....

[Alhazred]

Calcolando che entra in vigore tra meno di 20 giorni direi più che altro che nessun blogger o articolista o testata tecnica si sia presa l'impegno di affrontarlo dal punto di vista applicativo, ma solo di riportare i fatti di contorno che nella pratica non servono.

[chumkiu]

grazie per lo spiegone; come ci si regola per i dati che raccogli per *fare* il lavoro? perche' di solito i clienti mi danno i loro dati per registrare i dominii e cose del genere; altra domanda: si applica anche ai dati di accesso ai dominii, giusto? sempre dati aziendali sono (scusate la domanda niubba, ma - come dice alhazred - e' un casino trovar risposte)

La legge distingue il "responsabile" del trattamento dal "titolare" del trattamento.
Il responsabile del trattamento è quello che prende i dati per cederli al titolare (nel tuo caso, tu sei il responsabile mentre il provider è il titolare).
I dati personali che acquisisci li devi tenere per il tempo necessario a compiere ciò che sei stata incaricata di fare. Dopodiché li distruggi e sei a posto.


Hai l'obbligo dell'informativa che puoi inserire nel contratto. Inserisci le basi giuridiche ("ai sensi dell'articolo ...[cercalo ]") e i dati che prendi e le finalità per cui le prendi. Indichi per quanto tempo li detieni e stop.


Le aziende sopra i 250 dipendenti sono tenute ad avere un registro, ma evidentemente non è il tuo caso.

Nota: non sono uno specialista, quindi è tutta farina di letture e interpretazioni lette qua e la.