PDA

Visualizza la versione completa : Adeguamento normativa privacy


alvi2000
03-01-2004, 12:32
Alcune info utili


http://www.garanteprivacy.it/garante/doc.jsp?ID=228213
CODICE NORMATIVA COMPLETO

http://www.garanteprivacy.it/garante/doc.jsp?ID=487961
(Codice in materia di protezione dei dati personali)

http://www.garanteprivacy.it/garante/doc.jsp?ID=488582
(Nuova procedura di notificazione al garante)



Alcuni passaggi sulle procedure di notificazione ... ;)


6. DIRITTI DI SEGRETERIA

Ogni notificazione inviata al Garante (prima notificazione, modifica o cessazione del trattamento) deve essere accompagnata dal pagamento dei diritti di segreteria, il cui importo è fissato in euro 150,00.



Chi deve notificare

Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda:

a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;

b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;

c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;

d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;

e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonchè dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;

f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.


7. FIRMA DIGITALE

Per perfezionare la notificazione è necessario sottoscriverla con firma digitale (art. 10, comma 3, d.P.R. n. 445/2000). A tal fine, il titolare del trattamento deve utilizzare un dispositivo di firma digitale disponibile presso uno dei certificatori accreditati ai sensi dell’art. 2, comma 1, lett. c), d. lg. n. 10/2002. L’elenco dei certificatori è rinvenibile sul sito www.cnipa.gov.it.


etc..etc..




Morale della favola?

Prima di chiedere dati personali e di profilare l'utenza pensiamoci bene :gren: :gren:

weppos
03-01-2004, 14:18
Grande! Mi ero giusto ripromesso di cercare materiale.. mi hai evitato ore di ricerche! http://www.weppos.com/forum/smileys/teprego.gif

Ora mi toccherà dargli una lettura... :D

frateralph
03-01-2004, 14:46
litterae thesaurum est et artificium numquam moritur
Ora aspettiamo delucidazioni anche da parte di s8stress.
Temo che toccherà avvertire i visitatori che la loro visita (e il loro percorso sul sito :) ) verrà tracciato.
E con i cookies?
Sono "escludibili" essendo "trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti" ?

alvi2000
03-01-2004, 14:51
Se può servire ecco i punti da esporre in un'informativa sul trattamento da sottoporre agli utenti in fase d'isceizione :


a) le finalità e le modalità del trattamento cui sono destinati i dati;

b) la natura obbligatoria o facoltativa del conferimento dei dati;

c) le conseguenze di un eventuale rifiuto di rispondere;

d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;

e) i diritti di cui all'articolo 7;

f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile.

s8stress
03-01-2004, 17:35
Non capisco. C'è molto rumore su Internet per l'entrata in vigore di un codice che, in realtà, sul piano sostanziale, non apporta alcuna modifica alla normativa concretamente già vigente in materia di Privacy. Anzi, semmai semplifica le cose.

1) Il codice sulla privacy entrato in vigore il 1 gennaio 2004 si limita, in massima parte, a recepire e organizzare del materiale normativo già esistente. È dal 1996 che siamo tenuti a chiedere consensi e a subire dei vincoli nel trattamento dei dati personali di utenti, clienti e persino soggetti privati. Nulla è cambiato in tal senso, se non che ora il riferimento normativo non è più la L. 675/96, ma il D.lgs 196/03, con i diversi articoli da citare nelle informativa (Alvi li ha già diligentemente riportati).

2) La principale differenza del nuovo codice risiede proprio nel fatto che vengono limitati(e specificati) i casi di notificazione obbligatoria del trattamento al Garante, obbligo che prima era invece generalizzato. Ora la situazione è più vantaggiosa per i titolari del trattamento, in quanto non si è più obbligati alla notificazione se non si trattano dati personali cosiddetti "sensibili" o se non si svolge attività di profilazione di utenti. Fino ad ora chiunque acquisiva dati dagli utenti era tenuto alla notifica del trattamento (anche se a molti non si sono mai posti neanche il problema), salvo essere una categoria esonerata (es. commercialisti, avvocati e tutti coloro che sono iscritti ad ordini professionali). Ora invece sono tenuti alla notificazione solo i soggetti che pongono in essere specifiche tipologie di trattamento (pure già indicate da Alvi in un precedente messaggio).

3) Sulla "profilazione dell'utente", quindi, non è cambiato nulla. Chi pratica questa modalità di trattamento è obbligato alla notificazione ora come allora. E il principio è ovvio: sapendo che un utente fa determinate scelte (visitando la pagina A invece che la pagina B, ad esempio) si possono venire a conoscere dei dati "sensibili", cioè quelle informazioni, appartenenti ad una particolare categoria di dati personali, che godono di speciale tutela da parte del legislatore (sono dati sensibili quelli che riguardano l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale).
Un problema sarà stabilire cosa si intende per "profilazione utente". Per il momento inizierei evitando moduli complessi e contenenti opzioni che attengono ai gusti personali (tipo "quali sono i tuoi hobbies"?). Se chiedete queste informazioni per curiosità potete farne tranquillamente a meno. Se chiedete queste informazioni perché vi servono a targettizzare la pubblicità, o le rivendete ad altri, allora sbrigatevi a fare una notifica al Garante, siete 7 anni in ritardo.
Un problema particolare è per chi ha siti "specializzati" in materie strettamente afferenti a dati sensibili (ad esempio per chi ha siti di medicina, anche alternativa, opuure, un caso che immagino frequentissimo, per chi ha siti con materiale pornografico). Ma nulla è cambiato rispetto a prima. Gli obblighi restano i medesimi.

4) Sui cookies e sui file di log ho già dato: trovate il contributo nella categoria "articoli e approfondimenti" sul sito in firma.

Se finora non vi siete fatti alcun problema, godetevi gli ultimi giorni di vacanza, al nuovo codice ci penserete dopo l'Epifania.

s8stress

alvi2000
03-01-2004, 18:33
In effetti sul sito del garante si parla di 'snellimento' delle procedure...si parla anche di multe per omissione di notifica da 10'000 a 60'000 euro...però :D

Ti risulta che prima i diritti di segreteria fossero di 150eu?
Non sono un po' tanti? :quote:

flasini
04-01-2004, 14:58
sono anch'io dell'idea di evitare la profilazione.
ne abbiamo parlato su un 3d che ho aperto qualche tempo fa.

il problema è che molti sono obbligati alla notifica senza neanche saperlo.

quanti di noi sono sicuri che il proprio sito non abbia obblighi in merito?

secondo voi cosa comporta la notifica al garante? finisce lì la cosa o comporta ulteriori adempimenti?
conosco molte persone che hano paura di notificare (pure nel dubbio) perchè non sanno cosa l'aspetta. magari nulla. comunque la paura c'è.

:ciauz:

s8stress
04-01-2004, 16:06
Originariamente inviato da flasini
secondo voi cosa comporta la notifica al garante? finisce lì la cosa o comporta ulteriori adempimenti?
conosco molte persone che hano paura di notificare (pure nel dubbio) perchè non sanno cosa l'aspetta. magari nulla. comunque la paura c'è.

:ciauz:

Art. 37 (Notificazione del trattamento)

[...]

3. La notificazione è effettuata con unico atto anche quando il trattamento comporta il trasferimento all'estero dei dati.

4. Il Garante inserisce le notificazioni ricevute in un registro dei trattamenti accessibile a chiunque e determina le modalità per la sua consultazione gratuita per via telematica, anche mediante convenzioni con soggetti pubblici o presso il proprio Ufficio. Le notizie accessibili tramite la consultazione del registro possono essere trattate per esclusive finalità di applicazione della disciplina in materia di protezione dei dati personali.

Art. 38 (Modalità di notificazione)

1. La notificazione del trattamento è presentata al Garante prima dell'inizio del trattamento ed una sola volta, a prescindere dal numero delle operazioni e della durata del trattamento da effettuare, e può anche riguardare uno o più trattamenti con finalità correlate.

2. La notificazione è validamente effettuata solo se è trasmessa per via telematica utilizzando il modello predisposto dal Garante e osservando le prescrizioni da questi impartite, anche per quanto riguarda le modalità di sottoscrizione con firma digitale e di conferma del ricevimento della notificazione.

3. Il Garante favorisce la disponibilità del modello per via telematica e la notificazione anche attraverso convenzioni stipulate con soggetti autorizzati in base alla normativa vigente, anche presso associazioni di categoria e ordini professionali.

4. Una nuova notificazione è richiesta solo anteriormente alla cessazione del trattamento o al mutamento di taluno degli elementi da indicare nella notificazione medesima.

5. Il Garante può individuare altro idoneo sistema per la notificazione in riferimento a nuove soluzioni tecnologiche previste dalla normativa vigente.

6. Il titolare del trattamento che non è tenuto alla notificazione al Garante ai sensi dell'articolo 37 fornisce le notizie contenute nel modello di cui al comma 2 a chi ne fa richiesta, salvo che il trattamento riguardi pubblici registri, elenchi, atti o documenti conoscibili da chiunque.
___________________

Il problema pratico è la firma digitale, ma ormai molti commercialisti ne sono provvisti per tutti gli altri adempimenti.

Flasini pensa ad un nuovo business...magari in rete, se vuoi il sito stà già qui www.codice-privacy.it :D

s8stress

natasha
04-01-2004, 16:55
Molto bene :)
Vediamo di tirare le somme.
Da quanto leggo, gli obblighi si riassumono in:

1) fare la notifica al garante (e mi sembra che, a parte il problema della firma digitale, si può fare online)
2) compilare il documento programmatico della sicurezza: qualcuno ha un esempio di documento da inviarmi (borzoi@caltanet.it)?

Tutto giusto?
Kisses,

Nat

natasha
04-01-2004, 16:57
Per s8stress: il sito http://www.codice-privacy.it/ dà 404 error, sicuro che funzioni?
Kisses,

Nat

Loading