Notifica al Garante della privacy

[Claudia]

La notifica al Garante della privacy è richiesta per ogni tipo di e-commerce o solo in caso di profilazione tramite cookie?

[DIT]

La Notifica al Garante è prevista quando il Cookie installato esegue una profilazione di prima parte oppure sono Cookies analitici di terza parte se NON sono adottati strumenti che riducono il potere identificativo dei cookie e la terza parte non incrocia le informazioni raccolte con altre di cui dispone. Ogni situazione deve essere analizzata e valutata per potere prendere le iniziative più opportune. Sconsiglio il "copia-incolla-interpreto-a-mio-piacimento" perchè le sanzioni sono molto elevate. Saluti

[roby]

ciao,  mi rivolgo a DIT....

cosa in tendi per profilazione di prima parte.... io sono profano in materia ho solo letto la direttiva europea (improponibile) e su WIKI di cui incollo sotto la parte interessata.... forse non aggiornata alle nuove direttive ma che spiega i vari tipi di cookies

paragrafo 9 al link = https://it.wikipedia.org/wiki/Cookie#Cosa_cambia_rispetto_alla_legislazione_attuale

io personalmente ho solo Analytics e poi i soliti cookies che vengono abilitati dall'uso normale di prestashop... navigazione, carrello, lingue (solo una!)

grazie

..............

Nel caso di un sito con la presenza di soli cookie tecnici/funzionali (shopping cart, selezione lingua, preferenze) e/o di cookie di statistica di prima parte (es. Piwik e simili): rimane tutto come è ora e quindi non è necessario avere un cookie banner, il blocco preventivo dei cookie prima del consenso e il salvataggio dei consensi (formato della prova).

In questo caso rientrano anche i cookie di statistica di terza parte come Google Analytics con IP anonimizzato in modo tale che non possa essere ricostruito l’indirizzo IP con tecniche di “reverse engineering”. Utilizzando Google Analytics bisogna quindi disattivare la condivisione dei dati con gli altri prodotti/servizi Google^[27], altrimenti si rientra nel caso successivo.

Nel caso di presenza di altri tipi di cookie, e quindi quelli pubblicitari (Google Adsense, DoubleClick, retargeting, ecc) e tutti gli altri di terze parti (Social Network, YouTube, ecc) oltre al cookie banner il GDPR richiede:

• il consenso esplicito (opt-in) e quindi non più esplicito come ad esempio "scrollare" la pagina;
• il blocco preventivo dei cookie prima del consenso;
• la registrazione dei log del consenso da fornire come “prova”;
• la descrizione per ogni cookie che comprende chi riceve i dati, per quale scopo e la data di scadenza;
• la possibilità di revocare il consenso in modo semplice anche in un secondo momento.

.....................

[emmebarbagallo]

Ciao a tutti.
 

Anch'io interessato al problema .. ed è strano che vi siano tante views ma poche replies..

Il mio eshop vende in Italia ed all'estero e quindi ho abilitato 2 lingue.
Per il resto, come roby, ho solo Analytics e poi i soliti cookies che vengono abilitati dall'uso normale di prestashop... navigazione, carrello.
Fin'oggi, molto banalmente mi sono limitato a mostrare un banner con la classica scritta "Questo sito utilizza i cookie. Continuare nella navigazione del sito verrà considerato consenso al loro utilizzo." (anche in inglese), rimovibile solo premendo sul tasto OK e non con semplice scroll.
Ovviamente c'è il link alla normativa, dove, di fatto linko la pagina "http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884".

Cos'altro si deve fare?

[roby]

Ciao,

A proposito di Analytics... mi è arrivato avviso che praticamente hanno implementato strumenti idonei alla normativa UE oggetto del post e in fase di attuazione (25/05/18) in pratica si possono bloccare gli IP (e altri settaggi) in modo da non inserire cookie di terze parti che profilano il visitatore sul ns sito. Bloccato il tutto il cookie di G. è ridimensionato a Tecnico.... Chi usa profilazioni, codici adsense adword "probabilmente" e ripeto probabilmente solo per questo fatto è tenuto alla comunicazione al garante (costo 150euri) o se il legislatore chiarisse meglio alla tenuta del solo famoso registro e delle relative nomine interne.

In questi giorni ho guardato il registro pubblico delle notifiche al garante.... guardatelo pure voi e filtrate i dati per la vs città o provincia.... risultato = il deserto dei tartari... o quasi.... come spiegate tutto cio?

.... per il problema in questione sto guardando in rete e scrivendo mail in giro.... fra qualche giorno tiriamo le somme (forse) e scriverò qui (spero che altri lo facciano)

buona giornata

 

[Claudia]

On 9/4/2018 at 6:16 PM, roby dice:

ciao,  mi rivolgo a DIT....

cosa in tendi per profilazione di prima parte.... io sono profano in materia ho solo letto la direttiva europea (improponibile) e su WIKI di cui incollo sotto la parte interessata.... forse non aggiornata alle nuove direttive ma che spiega i vari tipi di cookies

paragrafo 9 al link = https://it.wikipedia.org/wiki/Cookie#Cosa_cambia_rispetto_alla_legislazione_attuale

io personalmente ho solo Analytics e poi i soliti cookies che vengono abilitati dall'uso normale di prestashop... navigazione, carrello, lingue (solo una!)

grazie

..............

Nel caso di un sito con la presenza di soli cookie tecnici/funzionali (shopping cart, selezione lingua, preferenze) e/o di cookie di statistica di prima parte (es. Piwik e simili): rimane tutto come è ora e quindi non è necessario avere un cookie banner, il blocco preventivo dei cookie prima del consenso e il salvataggio dei consensi (formato della prova).

In questo caso rientrano anche i cookie di statistica di terza parte come Google Analytics con IP anonimizzato in modo tale che non possa essere ricostruito l’indirizzo IP con tecniche di “reverse engineering”. Utilizzando Google Analytics bisogna quindi disattivare la condivisione dei dati con gli altri prodotti/servizi Google^[27], altrimenti si rientra nel caso successivo.

Nel caso di presenza di altri tipi di cookie, e quindi quelli pubblicitari (Google Adsense, DoubleClick, retargeting, ecc) e tutti gli altri di terze parti (Social Network, YouTube, ecc) oltre al cookie banner il GDPR richiede:

• il consenso esplicito (opt-in) e quindi non più esplicito come ad esempio "scrollare" la pagina;
• il blocco preventivo dei cookie prima del consenso;
• la registrazione dei log del consenso da fornire come “prova”;
• la descrizione per ogni cookie che comprende chi riceve i dati, per quale scopo e la data di scadenza;
• la possibilità di revocare il consenso in modo semplice anche in un secondo momento.

.....................

 

19 ore fa, emmebarbagallo dice:

Ciao a tutti.
 

Anch'io interessato al problema .. ed è strano che vi siano tante views ma poche replies..

Il mio eshop vende in Italia ed all'estero e quindi ho abilitato 2 lingue.
Per il resto, come roby, ho solo Analytics e poi i soliti cookies che vengono abilitati dall'uso normale di prestashop... navigazione, carrello.
Fin'oggi, molto banalmente mi sono limitato a mostrare un banner con la classica scritta "Questo sito utilizza i cookie. Continuare nella navigazione del sito verrà considerato consenso al loro utilizzo." (anche in inglese), rimovibile solo premendo sul tasto OK e non con semplice scroll.
Ovviamente c'è il link alla normativa, dove, di fatto linko la pagina "http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884".

Cos'altro si deve fare?

roby e emmebarbagallo da quanto ho capito con l'ingresso della nuova legge la notifica non sarà più necessaria. Avremo però bisogno di far valutare il sito per comprenderne i rischi e tenere un registro sul trattamento dei dati personali. Non sono un'esperta pertanto vi invito a prendere queste formazioni con le pinze e a chiedere il supporto di un legale esperto in materia. 

Per quanto riguarda emmebarbagallo: hai scritto che il banner rimanda al sito del Garante, non hai una privacy policy? 

[roby]

ciao,

avevo letto pure io che bastava "forse" registro + valutazione rischi ma non l'avevo ancora postato per sicurezza.

Io parlo per la mia situazione (2 negozi fisici + ecommerce)

nell'ecommerce ho messo tutto tanto è gratis lo faccio io : ssl, pagamenti effettuati su sito paypal, informativa cookie, analitycs senza ip, no servizi pubblicitari terzi (google o facebook) informativa privacy alla creazione dell'account, caselle di spunta per 2 diversi profili, privacy nell'iscrizione alle news, disattivato mail cliente se prodotto non disponibile, non uso invii automatici per carrelli abbandonati...

ebbene

"far valutare il sito per comprenderne i rischi"........ io raccolgo, anzi i clienti forniscono : nome cognome mail telefono indirizzi vari CF privati e CF + PI ditte solo per richiesta fattura .... dati che poi rimbalzano in parte sul sito dello spedizioniere o su paypal .... cert ssl attivo chiaramente.

quindi la valutazione è presto fatta

perdere i dati dei clienti sul mio sito....  è come perdere per strada l'agenda con cui vado a prendere i lavori a domicilio dai clienti .... anche in questo caso devo notificare lo smarrimento al garante :)??

Penso che la faccenda interessi realtà più grandi della mia .... ci aggiorniamo comunque sulle obbligarietà di tenuta registri e nomine varie.

Buona giornata

 

[flanders]

non sanno nemmeno loro come interpretare le leggi !

 

 

[Claudia]

1 ora fa, roby dice:

ciao,

avevo letto pure io che bastava "forse" registro + valutazione rischi ma non l'avevo ancora postato per sicurezza.

Io parlo per la mia situazione (2 negozi fisici + ecommerce)

nell'ecommerce ho messo tutto tanto è gratis lo faccio io : ssl, pagamenti effettuati su sito paypal, informativa cookie, analitycs senza ip, no servizi pubblicitari terzi (google o facebook) informativa privacy alla creazione dell'account, caselle di spunta per 2 diversi profili, privacy nell'iscrizione alle news, disattivato mail cliente se prodotto non disponibile, non uso invii automatici per carrelli abbandonati...

ebbene

"far valutare il sito per comprenderne i rischi"........ io raccolgo, anzi i clienti forniscono : nome cognome mail telefono indirizzi vari CF privati e CF + PI ditte solo per richiesta fattura .... dati che poi rimbalzano in parte sul sito dello spedizioniere o su paypal .... cert ssl attivo chiaramente.

quindi la valutazione è presto fatta

perdere i dati dei clienti sul mio sito....  è come perdere per strada l'agenda con cui vado a prendere i lavori a domicilio dai clienti .... anche in questo caso devo notificare lo smarrimento al garante :)??

Penso che la faccenda interessi realtà più grandi della mia .... ci aggiorniamo comunque sulle obbligarietà di tenuta registri e nomine varie.

Buona giornata

 

la valutazione non dovresti farla tu, come non dovrei farla io per il mio sito, ma un legale esperto in diritto informatico, aiutato da un developer che sappia comprendere quali sono davvero i rischi, questo è quello che IO ho interpretato. Poi ognuno è libero di adottare le soluzioni che preferisce. In questo caso però non credo che il fai da te sia la soluzione più congeniale viste le multe.

[roby]

ciao a tutti,

posto 2 file di esempio per il famoso registro, uno dell'autorità belga per la privacy l'altro italiano.... semplicissimo foglio di calcolo da abbellire come grafica

allego guida del garante + legge integrale .... e tenuto presente tutte le  situazioni come la mia (2 negozi fisici + laboratorio + ecommerce senza particolari profilazioni... gestione solo di vendite e preventivi .... vedi post precedenti)

il nocciolo è l'art. 30 par. 5

....

5. Gli obblighi di cui ai paragrafi 1 e 2 (cioè di tenuta registro) non si applicano alle imprese o organizzazioni con
meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare
un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o
includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i
dati personali relativi a condanne penali e a reati di cui all’articolo 10.

.....

Domanda = gli ecommerce indistintamente effettuano un trattamento occasinale o non occasinale oppure bisogna anche qui valutare caso per caso ?

altro nocciolo art 35 par 1

....

Articolo 35
Valutazione d’impatto sulla protezione dei dati (C84, C89-C93, C95)
1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie,
considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare
un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento
effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti
previsti sulla protezione dei dati personali. Una singola valutazione può esaminare
un insieme di trattamenti simili che presentano rischi elevati analoghi.

Domanda = dato che un ecommerce utilizza nuove tecnologie.... tutti gli ecommerce presentano con il trattamento effettuato (normale gestione dati anagrafici) rischi elevati per diritti e libertà o bisogna valutare caso per caso?

A presto

 

 

 

Regolamento+UE+2016+679.pdf

Belgian-DPA-Registry-of-Processing-Activities-Template-20170907-EN.xlsx

Guida_all_applicazione_del_Regolamento_UE_2016_679.pdf

Art30_GDPR_Template_Registro_dei_trattamenti.xls

[roby]

Salve a tutti....

oggi per caso ho letto questa pagina.... = https://www.privacy.it/2017/12/04/garante-francese-tool-dpia/

in essa (oltre che spiegare tutta la faccenda) è contenuto link per scaricare un prg dal sito francese CNIL per compilare (in italiano) comodamente dal proprio pc il documento Data Protection Impact Assessment previsto dal GDPR ... sempre per chi è obbligato a compilarlo!

Inoltre ho letto le linee guida di prestashop sull'argomento (documento presente su addons liberamente scaricabile in inglese.... seguite il link dal B.O. di presta)  dove spiega anche che sarà rilasciato un modulo per gertire le problematiche del GDPR (se lo trovate su addons mandate link) che sarà gratis per 1.7 mentre a pagamento per 1.6.e 1.5 GRAZIE MILLE!!

a presto

[emmebarbagallo]

Buongiorno a tutti.

In attesa di trovare un modulo effettivamente completo e consapevole di dover attendere l'ultimo istante utile.. vorrei sapere invece se la comunicazione al garante del responsabile protezione dati è obbligatoria anche nel caso in cui l'azienda sia ditta individuale e non vi siano dipendenti (a parte il titolare stesso).

[roby]

Buogiorno a tutti...

piccolo riepilogo link utili (per chi rientra negli obblighi)

- pagina con link da cui scaricare programma per compilare valutazione di rischio = https://www.privacy.it/2017/12/04/garante-francese-tool-dpia/

- pagine descrittive dove si chiarisce definitivamente la questione cookies

link1 =https://www.iubenda.com/en/help/1764-infografica-sugli-adempimenti-richiesti-dalla-cookie-law

link2=https://www.giovannifracasso.it/accettazione-cookies-privacy-banner/

per quanto riguarda la comunicazione al garante "relativa alla nomina del responsabile del trattamento dei dati" vedi post sopra

la questione è sempre la stessa dipende se si effettuano o no profilazioni sui dati in possesso, nel caso il garante dice che bisogna comunicare preventivamente ogni trattamento effettuato sui dati raccolti vedi pag = http://www.garanteprivacy.it/home/doveri

Comunque per una società come la mia = 2 soci + 3 negozi fisici al dettaglio + negozio online elenco sotto operazioni fatte o da in corso =

- autonomina di responsabile del trattamento dati. (una più una meno!)

- stesura su foglio elettronico registro trattamenti (vedi link post precedenti su esempi file)

- stesura valutazione del rischio (vedi prg scaricabile ... link post precedenti)

- modulo cartaceo da far firmare con informativa privacy per raccolta dati clienti neg fisici

Negozio online

- Home page descrittiva ditta (non sono presenti cookies) ma ho messo ugualmente l'avviso creato con cookieconsent, non blocca i cookies ma l'aspetto è gradevole e personalizzabile. Creato modulo contatto con link informativa e check obbligatorio di spunta.

Serve solo per richiedere buono sconto quindi non necessita di optin.

Prestashop

Nella sottocartella ho prestashop... dove sono presenti solo cookies di sessione o terze parti senza profilazione.

1) anonimizzato G.A. - eliminata chat videodesk ormai obsoleta e che creava cookies!!

2) creando l'account il cliente è guidato da un'informativa breve con due checkbox di convalida e con la descrizione accurata sul trattamento dei dati e a chi saranno trasmessi (corrieri-paypal-commercialista)

3) aggiunta voce per richiedere dal modulo di contatto di presta 1.6 la cancellazione totale dei dati di un cliente.

4) eliminata opzione "inserisci la tua mail per avviso su rientro articolo" nella pag. articolo.

5) inserito check e link informativa privacy su iscrizione alle news in home page (sul questa iscrizione di serie con presta 1.6 è attivo l'optin)

Chiaramente google adsense o adwords .... complicano tutto con i cookies di profilazione.... su questo non sono preparato e per quel che mi riguarda pagare per questi servizi svariate centinaia di euro al mese mi spinge ad aprire semmai un'altro negozio fisico piuttosto che virtuale, meglio facebook per pubblicizzare pagando i click .... nessun problema di cookie o privacy... ci pensano loro.

accetto come sempre consigli, ciao

 

 

 

 

[roby]

Buongiorno a tutti....

se avete un pò di tempo libero guardatevi questo webinar sul gdpr... non tratta come sembra dall'inizio solo di wp ma in generale risponde a molti quesiti sul tema. ... buona visione.

https://www.youtube.com/watch?v=3gmBrAyuyxQ