Sito intestato a persona fisica che tratta dati personali

[luanca]

Sto realizzando un sito per raccogliere e conservare un dialetto.
Ho la necessità che il visitatore per offrire un contributo, un racconto o un termine dialettale, non debba essere costretto a registrarsi ed ovviamente, abbia la possibilità di scegliere se far pubblicare all'interno del sito anche il suo nome e cognome oltre al contributo offerto.
I dati che intendo trattare sono tutti considerati dalla normativa: "dati personali" non verranno mai ceduti a terzi.
Il sito non è a scopo di lucro e per sua natura, presuppone una visibilità geografica molto limitata.
Nome, Cognome, email e per alcuni (pochi) registrazione vocale.
Studiando la normativa ho compreso che dovrò senz'altro redigere un documento nel quale specificare le modalità di trattamento che in linea di massima saranno semplicemente l'inclusione in pagina Html senza memorizzazione in DB.
Un Db esterno al sito, mi aiuterà solo per mantenere traccia delle firme nei casi in cui dovessero pervenire richieste di cancellazione.
Tutto abbastanza chiaro, a parte la notificazione, riporto il testo del sito del Garante:

La notificazione è una dichiarazione con la quale un soggetto pubblico o privato rende nota al Garante per la protezione dei dati personali l'esistenza di un'attività di raccolta e di utilizzazione dei dati personali, svolta quale autonomo titolare del trattamento. E' trasmessa Al Garante, telematicamente tramite questo sito e utilizzando la procedura indicata nelle istruzioni. Si presenta prima che inizi il trattamento dei dati.
La notificazione riguarda l'attività di trattamento di dati personali (a volte solo se registrati in banche dati o archivi indicati dalla legge o dal Garante), ma non una banca dati o un archivio in quanto tale. Può aversi, infatti, un trattamento anche se materialmente i dati non sono organizzati in una banca dati. Si trasmette, solo per via telematica tramite questo sito, anche con la collaborazione di eventuali intermediari autorizzati....

Costi dell'operazione € 150,00 per diritti di segreteria + eventuale compenso per l'intermediario che la inoltra telematicamente.
Se il sito dovesse andar male, occorrerebbe una ulteriore notifica per comunicare la sospensione del trattamento dei dati con versamento di altri 150,00 euro + costi trasmissione.
In preda a fortissimo dubbio interpretativo, (mi sembra strano che un privato senza scopo di lucro debba fare tanto) chiedo aiuto a questo forum, sperando di aver posto il quesito nella sezione giusta (per gli amministratori, non sono riuscito a trovare una sezione dedicata alla privacy, forse sarebbe utile?).
Nel regno dei webmaster, molti dei quali autodidatti e non inquadrati come impresa (senza partita iva) forse qualcuno ci sarà già passato.

[fcaldera]

se il db ti serve solo per cancellare le persone non sei obbligato a salvare il loro nome e l'email: ti crei una tabella con due colonne. Id e hash

nella colonna hash inserisci un md5/sha256/quellochetipare di nome + cognome + email

quando una persona si vuole disiscrivere dovrà inserire nome, cogome e email forniti durante l'iscrizione. Tu leggi i dati, li concateni, li trasformi via md5/sha256/quellochetipare e vedi se le stringhe sono identiche. in tal caso rimuovi la riga.

risultato
- nessun dato personale salvato
- no notifica garante
- puoi bullarti di questa brillante soluzione.
- risparmi spazio nel db rispetto ad una tabella con 4 campi.

[luanca]

La raccolta delle proposte avviene come un classico blog, l'utente scrive un racconto o un contributo in una check box e mi arriva sulla mail.
Se la ritengo valida allo scopo la inserisco nel sito.
Quindi la comunicazione del dato è da privato a privato.
Il db esterno volendo ne potrei anche fare a meno, quando mi arrivano i contributi li aggiorno sulla pagina di interesse e basta finito. I dati sono tutti li.
Non ho capito se la notifica va fatta anche per un tipo di trattamento del genere.
Francamente mi sembra eccessivo.

[luanca]

Il sito non possiede un DB sono solo pagine web statiche.

[fcaldera]

tratto da qui http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248

Art. 5. Oggetto ed ambito di applicazione

...
3. Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.

p.s. Non sono un legale per cui non mi chiedere se questo sia o no il tuo caso o che cosa ne penso (il mio pensiero non ha valore legale)

Leggi la normativa e, se non sei sicuro se questo punto si applichi nel tuo caso, chiedi un parere legale serio.

[luanca]

Si ho letto anche questo... e non ho capito cosa intendono per "comunicazione sistematica" e "diffusione".
Una pagina web potenzialmente può essere letta in tutto il mondo in meno di un minuto.
Inoltre, può considerarsi sufficientemente sicuro, una pubblicazione di dato sensibile meramente scritto in un html?
I mio provider è aruba, credo spetti a loro salvaguardare l'inviolabilità della cartella ftp, nel senso che nessuno dovrebbe riuscire ad entrarvi senza essere in possesso delle mie credenziali.
Ho pensato di includere nel documento di informativa anche la procedura di memorizzazione dei nomi in questo modo: "il dato personale è trascritto manualmente in html" purtroppo però ogni cosa che è visibile è anche acquisibile, quindi se per assurdo un hacker mi lancia una procedura che mi copia tutte le firme sui documenti e mi divulga l'elenco cosa mi verranno a dire? Che ho scritto male l'html?
Mah...
Ti ringrazio in ogni caso, è ovvio che da un forum si aspettano confronti ed esperienze non pareri legali.