Ancora sulla privacy

[AnFrusch@pepp]

Come dice il titolo della discussione che vorrei aprire, pur rendendomi conto che ci sono altre discussioni aperte in merito, avrei bisogno di sapere un paio di cosette che non ho capito, sicuramente per mio limite visto che non capisco il politichese troppo bene, pur leggendomi i testi di legge sul sito del Parlamento e su quello del garante.

Ora, lavorando in una azienda che da anni acquisisce clienti, tramite mezzi 'tradizionali' tipo via telefono o front-office, è nata la necessità di 'mettere a norma' la grande mole di nominativi stipati nel nostro DB.

Si pensava quindi di pubblicare sul sito della società il classico form con pubblicati e visibilli i dati del cliente (chiaramente solo se loggato) con magari il riferimento alla legge, l'uso che si vuole fare di tali dati, chi è il responsabile dei dati etc più una spunta per dare la possibilità all'utente di decidere (leggi sottoscrivere) il trattamento dei propri dati.

Questo consenso dovrebbe in realtà spuntare il classico 'flag' nel nostro archivio.
Ora mi chiedo, cosa deve essere OBBLIGATORIAMENTE inserito nel sito?
Una sottoscrizione elettronica per clienti acquisiti NON VIA INTERNET è valida con l'espediente di cui sopra?
In quali altri obblighi potrei incappare?

PS: ho scritto su questo forum perchè ho trovato un'altra discussione simile, ma come capite, il mio caso è un po' complicato.

Grazie.

[jop]

Scusa ma riesci ad essere + chiaro, così vediamo se possiamo aiutarti.
Ho l'impressione che ci siano + domande implicite nel tuo ragionamento
Bye

[AnFrusch@pepp]

ciao, cercheerò di essere più chiaro:

la situazione attuale è che dove lavoro ci sono diverse migliaia di clienti i cui dati sono contenuti nel nostro database.
Per quel che mi è dato sapere tra un po' bisognerà 'denunciare' al garante la pesenza e il conseguente trattamento dei dati di questi contatti (aziende).
Sempre per quello che mi hanno detto (io in realtà mi occupo del sito web e servizi relativi ad esso in maniera quasi esclusiva, quindi non di amministrazione) bisignerebbe che questi clienti, vista la normativa dell'UE, firmassero una liberatoria per il suddetto trattamento dei dati personali (legge sulla Privacy).
Dato che come ho detto si tratta di un buon numero di contatti è una bella impresa inviare a tutti la modulistica e farcela tornare indietro firmata, i miei capi mi hanno chiesto se un consenso on-line sia la stessa cosa, magari salvando questa scelta (che dovrebbe avvenire in un form inserito in una pagina web) nel nostro gestionale attarverso - ipotizzo - un campo che verrebbe modificato all'atto dell'avvenuto consenso - delibera del cliente.
Questa è la vera domanda.
Una postilla è sapere se per essere a norma bisogna inserire comunque un link ad una pagina che specifichi il modo e i termini entro i quali vengono 'usati' i dati in nostro possesso.


spero sia una domanda meglio articolata.
Grazie.

[s8stress]

1) Anzitutto devi capire a quale tipologia appartengono i dati da trattare e quali sono le finalità del trattamento. Questo per comprendere quali adempimenti ti sono necessari.

2) Devi quindi valutare se è necessaria la notificazione del trattamento dei dati al Garante (art. 37 d.lgv. 196/03). Dipende dalla tipologia di dati e dal trattamento che ne fai (scadenza 30.4.2004).

3) Devi poi fornire a tutti coloro che sono gli interessati (quindi le persone o gli enti a cui si riferisce il dato acquisito) l'informativa ai sensi dell'art. 13 e acquisire il relativo consenso (anche non in foma scritta, se non si tratta di dati sensibili, quindi è sufficiente un modulo web).

4) Devi adottare le misure minime di sicurezza (allegato B) tanto per i trattamenti mediante strumenti elettronici che per i trattamenti ordinari (scadenza 30.6.2004).

5) Devi predisporre un DPS (Documento programmatico sulla sicurezza) da aggiornare annualmente e da inserire nel bilancio se si tratta di una società (scadenza 30.6.2004).

6) Se ci sono dipendenti, ti suggerisco anche di predisporre e far loro firmare una lettera di incarico per il trattamento dei dati.

[dav]

Originariamente inviato da s8stress
5) Devi predisporre un DPS (Documento programmatico sulla sicurezza) da aggiornare annualmente e da inserire nel bilancio se si tratta di una società (scadenza 30.6.2004).

Saresti in grado di fornire un link dove si può visualizzare un esempio o un modello di DPS?

[s8stress]

Originariamente inviato da dav
Saresti in grado di fornire un link dove si può visualizzare un esempio o un modello di DPS?

Di modelli non ne ho mai visti, anche perché è difficile pensare ad un modello valido per tutte le realtà. Per degli esempi, ti basta fare una ricerca su G e ne trovi a decine.

[jop]

A mio avviso la nuova legge Privacy interessa tutti in modo pesantissimo, cosa ne dite di aprire un forum specifico su HTML.IT

[AnFrusch@pepp]

Devi poi fornire a tutti coloro che sono gli interessati (quindi le persone o gli enti a cui si riferisce il dato acquisito) l'informativa ai sensi dell'art. 13 e acquisire il relativo consenso (anche non in foma scritta, se non si tratta di dati sensibili, quindi è sufficiente un modulo web).

grazie s8stress, porrò questi quesiti ai miei superiori.. il punto che ho quotato mi risulta più difficile da comprendere..
cosa si intende per dati sensibili?
Noi qui disponiamo praticamente di tutto quello che serve ad una azienda per gestire i propri clienti.. il che significa che trattiamo anche dati anagrafici, indirizzi, email aziendali etc..

Voglio dire che non lavoriamo ESCLUSIVAMENTE via web, anzi.

[s8stress]

Originariamente inviato da AnFrusch@pepp
grazie s8stress, porrò questi quesiti ai miei superiori.. il punto che ho quotato mi risulta più difficile da comprendere..
cosa si intende per dati sensibili?
Noi qui disponiamo praticamente di tutto quello che serve ad una azienda per gestire i propri clienti.. il che significa che trattiamo anche dati anagrafici, indirizzi, email aziendali etc..

Voglio dire che non lavoriamo ESCLUSIVAMENTE via web, anzi.

Per tutte le definizioni vedi l'art. 4 D.lgv 196/03.

In particolare, lettera d):
"dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;

[jop]

i dati sensibili sono quelli che permettono di sapere le condizioni di salute, le idee politiche,religiose,ecc... delle persone oggetto del trattamento.
Ti consiglio di scaricarti la normativa dal sito del grante www.garante.it dove trovi la definizion precisa