Adempimenti PRIVACY necessari ?

[nocensura]

Ho questo dubbio che spero qualcuno possa chiarirmi:

Nel mio sito web ho inserito una chat che conta circa 1.000 iscritti, in fase di iscrizione viene richiesto un profilo virtuale composto da un Nickname di fantasia e da alcuni dati generici (in dettaglio città di appartenenza, età, sesso ed Hobby) per facilitare lo stabilirsi di contatti interpersonali.
Non viene richiesto alcun dato reale che possa contribuire all'identificazione del soggetto e quindi non si richiedono e-mail, nomi e cognomi, numeri di telefono ed indirizzi.

Il dubbio è se questo semplice archivio (fra l'altro in formato testuale e non DB) composto da dati virtuali richiede l'adempimento degli obblighi previsti dal Dlgs 196/2003 - Codice in materia di protezione dei dati personali.

Grazie

[oziofester]

No perché quelli che raccogli non essendo riconducibili a persone non sono dati personali.

Stai attento a non renderli mai riconducibili a persone altrimenti diventerebbero dati personali e per di più profilati (richiesta degli hobby) e non li potresti trattate non solo senza informativa e consenso ma anche senza preventiva autorizzazione dall'ufficio del garante per la protezione dei dati personali.

Stai attento anche a non registrare l'ip degli iscritti. Se lo fai i dati diventano riconducibili a persone quindi diventano dati personali con quello che ne consegue e che ho indicato sopra.

[nocensura]

a questo punti mi sorge un altro dubbio:
Sempre nel medesimo sito in altra sezione richiedo l'e-mail per consentire la pubblicazione dei siti web proposti dagli utenti, tuttavia la richiesta serve solo per rendere attendibile la stessa (l'e-mail viene controllata per la sola integrità nel formato) e non determina la conservazione dell'indirizzo stesso in alcuna banca dati.
L'ulteriore domanda quindi è :

acquisire dei dati personali per una verifica istantanea degli stessi senza loro conservazione, determina gli obblighi della legge 196/03 sulla privacy ?

[oziofester]

Originariamente inviato da nocensura
a questo punti mi sorge un altro dubbio:
Sempre nel medesimo sito in altra sezione richiedo l'e-mail per consentire la pubblicazione dei siti web proposti dagli utenti, tuttavia la richiesta serve solo per rendere attendibile la stessa (l'e-mail viene controllata per la sola integrità nel formato) e non determina la conservazione dell'indirizzo stesso in alcuna banca dati.
L'ulteriore domanda quindi è :

acquisire dei dati personali per una verifica istantanea degli stessi senza loro conservazione, determina gli obblighi della legge 196/03 sulla privacy ?

Assolutamente sì. L'archiviazione è soltanto uno dei tanti trattamenti possibili (tra i quali: conservazione, uso, cancellazione, comunicazione, diffusione ecc.).

Evidentemente stai già violando la legge.

Se quando richiedi l'email non fornisci informativa e non richiedi consenso nei modi previsti dalla legge stai commettendo un illecito. Il garante potrebbe sanzionarti. Un utente potrebbe farti causa.

Se (ma forse questo non succede se non archivi l'email) risulta collegabile l'utente con email all'utente della chat dove chiedi hobby stai commettendo un illecito ancora e molto più grave, forse è anche reato, non ricordo.

[nocensura]

In riferimento alla segnalazione sulla raccolta del solo indirizzo di e-mail al fine di una verifica istantanea, voglio segnalare che un mio collega che si occupa di Privacy in azienda, sostiene invece che il tale operazione non comporta alcun obbligo perchè può essere intesa come semplice richiesta di contatto e/o semplice accertamento dell'identità del mittente.

In altre parole...per ogni e-mail ricevuta nella nostra casella di posta elettronica non è necessario adempiere agli obblighi sulla privacy per ogni mittente, a meno che non acquisiamo ulteriori suoi dati (ad esempio diventa un nostro cliente o fornitore).

[oziofester]

Il suo collega che si occupa di privacy deve andarsi a rileggere (l'ha letto almeno una volta? glielo chieda! davvero!) il testo unico sul trattamento dei dati personali.

Il trattamento (compresa la raccolta e l'elaborazione) di dati personali (riferiti o riferibili a persone come le email) sistematico (procedura ripetuta) comporta gli adempimenti previsti dal testo unico fra cui l'informativa sul trattamento dei dati personali da rendere all'interessato e la richiesta di consenso da raccogliere dall'interessato.

Il trattamento senza informativa e consenso è illecito.

Per altro, le stesse richieste di contatto qualora in via sistematica (es. attraverso un form su un sito web) sottostanno alle norme sul trattamento dei dati personali per cui va fornita informativa e richiesto consenso.

[xtiger]

Quoto tutti coloro che hanno detto che stai violando il codice in materia di dati personali.

Fossi in te mi metterei in regola al piu' presto con:

INFORMATIVA
DPS
Cassaforte,armadio chiuso a chiave etc. per conservare "off line" i dati cartacei e i back up del sito
Tutto il resto.

Perche' rischiare.

Fai le cose per bene e nessuno potra' dirti nulla.