GDPR per blogger - come adeguarsi al nuovo regolamento della Privacy

GDPR per blogger:
maggiore privacy o un lucchetto alle parole?

Lo scorso 25 maggio è entrato in vigore a tutti gli effetti il GDPR, acronimo di General Data Protection Regulation (Regolamento Generale sulla Protezione dei Dati), il Regolamento Europeo 2016/679 in materia di trattamento dei dati personali e di privacy.
In realtà era stato approvato ancora il 27 aprile 2016 e pubblicato in Gazzetta Ufficiale Europea il 4 maggio: dunque la sua efficacia risale al 25 maggio 2016, ma erano previsti due anni perché ogni stato membro dell’Unione si preparasse all’introduzione di questi nuovi adempimenti. Invece pare che tutta la rete se ne sia resa conto solo dallo scorso gennaio e soprattutto le piattaforme di blogging siano arrivate alla fatidica data impreparate.

Da quando ho chiuso il post sul Salone del Libro di Torino, mi sono buttata ogni microsecondo utile a vedere questo nuovo regolamento sulla privacy, conscia che WordPress stesso era in ritardo con i suoi rilasci e che non avrei avuto molto tempo per verificare gli aggiornamenti e trovare la soluzione migliore per essere in regola.

Mi sono ritrovata tutte le sere ad aggiornare plugin, rivedere pagine, moduli e cookies, verificare le privacy policy dei servizi di terze parti, scrivere, editare, testare, e no, non funziona, cambia impostazioni, ricomincia da capo, consulta il support di questo o quell’altro tool, in lingua inglese. Con un occhio al sito del nostro Garante della Privacy e tutti gli articoli che cercavano di dipanare la gran nebbia attorno a questo regolamento.
E in tutto questo, l’unico dato gestito da un blog come il mio è l’indirizzo email, che potrebbe pure essere fasullo!
Dalla mia ho le mie conoscenze informatiche, che sicuramente mi facilitano, non posso negarlo. Ma gli altri blogger?
Mi è spiaciuto vedere che all’incauta indifferenza totale di alcuni si è contrapposta la paranoia assoluta di altri, arrivati addirittura a chiudere in blocco tutte le attività scrittorie (qualcuno ha proprio spento il sito!) in attesa di tempi migliori.
E allora mi sono chiesta: ma questo GDPR serve davvero a proteggerci tutti come utenti dagli occhi indiscreti o è solo una maniera legale di imbavagliare la rete?

 

Cosa prevede questo GDPR

Il regolamento GDPR è uno stretto giro di vite, e non solo uno, a tutta la normativa in materia di protezione dei dati personali, uniformando le diverse normative in essere nei vari stati membri a maggior tutela dei cittadini europei. Di fatto, il nostro vecchio Codice Privacy (d.lgs. 196/2003) viene totalmente sostituito da questo nuovo regolamento, che si applica anche alle aziende estere operanti nel territorio europeo. Quali sono le novità introdotte?

Ci sono tre principi fondamentali su cui si basa questo GDPR:

  • Privacy by design: la protezione dei dati personali dev’essere considerata fin da subito nell’implementazione di nuovi processi aziendali e servizi all’utente, così da garantire la massima efficienza del sistema, piuttosto che dover mettere in sicurezza i dati in un secondo momento;
  • Privacy by default: dovranno essere raccolti solo i dati strettamente necessari al trattamento dichiarato all’utente e conservati esclusivamente per il tempo necessario a tale finalità;
  • Accountability: l’impiego di responsabilità nel trattamento deve essere verificabile, ovvero devono risultare comportamenti proattivi del titolare del trattamento tali da dimostrare la volontà di adottare tutte le misure possibili finalizzate ad assicurare l’applicazione del regolamento e la protezione dei dati (questo dovrebbe anche dare un taglio al far west del telemarketing italiano…).

Inoltre, sono stati estesi i diritti degli utenti, cercando di eliminare la confusione generata negli anni da informative complesse e volutamente fumose:

  • diritto d’informazione: il diritto di essere informati circa le modalità del trattamento dei propri dati personali;
  • diritto di accesso: il diritto di ricevere una copia dei propri dati personali oggetto di trattamento, sia accedendo direttamente sia tramite risposta cartacea o elettronica del titolare del trattamento;
  • diritto di rettifica: il diritto di poter modificare in qualsiasi momento i propri dati, facendone semplicemente richiesta al titolare del trattamento;
  • diritto di opposizione: il diritto di poter opporsi in qualsiasi momento al trattamento dei propri dati, facendone semplicemente richiesta al titolare del trattamento; va da sé che se il trattamento è necessario all’espletamento di un servizio, tale servizio sarà automaticamente revocato;
  • diritto alla portabilità: il diritto di trasferire direttamente i dati portabili a un altro titolare indicato dall’interessato, solo se tecnicamente possibile (portabilità del numero telefonico o del contenuto di una casella email);
  • diritto alla cancellazione (diritto all’oblio rafforzato): il diritto di chiedere la cancellazione totale dei propri dati, compresa la cancellazione dai backup o in gestione presso parti terze, anche dopo revoca del consenso al trattamento;
  • diritto di limitazione: il diritto di limitare o bloccare temporaneamente l’accesso al dato, in attesa di ulteriore attività da parte del titolare (come nel caso di richiesta di rettifica o opposizione al trattamento, fintanto che non viene completata la procedura).

Soprattutto il consenso dell’utente al trattamento dei suoi dati personali deve sempre essere esplicito, anche per trattamenti automatizzati. Non deve essere necessaria la forma scritta, ma il responsabile del trattamento deve poter dimostrare che l’interessato da prestato il suo consenso per uno specifico trattamento. Non sono più ammessi comportamenti taciti o presunti, come informative accettate in seguito ad altra azione o caselle prespuntate nei moduli elettronici.

L’informativa, ovvero il testo con cui si dichiarano le modalità del trattamento dei dati, deve essere concisa, trasparente, intelligibile per l’interessato e facilmente accessibile. Occorre utilizzare un linguaggio chiaro e semplice, evitando tecnicismi e un eccesso di riferimenti normativi. Questo per dare certezza che l’utente ha effettivamente compreso a quale trattamento ha prestato il suo consenso.

Il regolamento GDPR disciplina anche il trasferimento dei dati dei cittadini europei verso l’estero, consentendolo solo se sono soddisfatte determinate condizioni, soprattutto il relazione al livello di protezione dei dati personali del paese estero in cui vengono trasferiti. Lo spostamento dei dati verso gli Stati Uniti è consentito solo verso aziende e istituzioni statunitensi che abbiamo aderito al Privacy Shield, un quadro normativo concordato tra l’Europa e gli Stati Uniti, e che l’utente ne sia preventivamente informato. Potete consultare l’elenco degli aderenti sul sito ufficiale: Privacy Shield Framework 
(tutte le volte che sento nominare il Privacy Shield mi vengono in mente gli eroi dei fumetti di casa Marvel 😀 )

Per maggior chiarezza, non solo come blogger interessati dall’impatto del GDPR sui nostri siti ma anche come utenti che vogliano esercitare il proprio diritto alla privacy, ecco un ottimo schema di confronto tra il vecchio Codice Privacy italiano e questo nuovo GDPR europeo: Tabella di confronto tra Codice della Privacy (D.lgs. 196/2003) e Regolamento Europeo della Privacy (GDPR 016/679) 

Se poi volete un esempio di un elaborato conciso, trasparente, facilmente accessibile, con un linguaggio chiaro e semplice (!), ecco il testo completo del GDPR come pubblicato sulla Gazzetta ufficiale dell’Unione europea, tradotto in italiano: REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

Per maggiori dettagli e per riprendervi dalla precedente lettura, vi consiglio di consultare la pagina informativa messa a disposizione dal nostro Garante per la privacy, continuamente aggiornata con nuove indicazioni: Regolamento europeo in materia di protezione dei dati personali 

 

Chi deve adeguarsi

Verrebbe da pensare che tutto questo trambusto non dovrebbe riguardare i blogger, che utilizzano il web semplicemente per condividere con il pubblico le proprie passioni, letterarie, culinarie, di moda, di viaggi, di giardinaggio, senza avere alcuna necessità di raccogliere i dati personali dei loro lettori.
Ma qui inizia la confusione.

L’articolo 18 del GDPR recita infatti:

“Il presente regolamento non si applica al trattamento di dati personali effettuato da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale. Le attività a carattere personale o domestico potrebbero comprendere la corrispondenza e gli indirizzari, o l’uso dei social network e attività online intraprese nel quadro di tali attività. Tuttavia, il presente regolamento si applica ai titolari del trattamento o ai responsabili del trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività a carattere personale o domestico.”

Sibillino non vi pare? Mi è chiaro il concetto che non divento responsabile del trattamento degli indirizzi email degli amici che mi scrivono privatamente, e nemmeno dei dati personali che i miei stessi amici condividono con me nei social network. Ma il blog può essere considerata un’attività a carattere esclusivamente personale? E quell’ultima frase che cosa significa esattamente?

Secondo questo articolo di SqualoMail, piattaforma di invio di email marketing, Tutto quello che devi sapere sul GDPR in 8 passi spiega:

“Si applica a tutte le organizzazioni che gestiscono, custodiscono, trattano, trasmettono o operano in altro modo con i dati personali di persone fisiche, che sono cittadini dei paesi dell’Unione europea.[…] L’organizzazione in questo contesto significa un’azienda, un istituto o un’istituzione nazionale, così come un’associazione, un sindacato, partito politico e altre forme di organizzazioni. Gli unici esenti sono (altre) persone fisiche.”

Quindi dato che il blog, sia come dominio che come hosting, è intestato a me, persona fisica, tramite il codice fiscale (e non la Partiva IVA), dovrei essere esclusa da tutto questo. Non sono un’azienda, un istituto, né un’associazione o qualsiasi altro tipo di organizzazione.

Ma secondo quest’altro articolo di Iubenda, piattaforma web specializzata da anni nella consulenza in merito alla privacy policy informatica, Guida GDPR specifica:

“Con il termine “titolare del trattamento” si intende una qualsiasi persona fisica o giuridica coinvolta nella determinazione delle finalità e delle modalità del trattamento dei dati personali degli utenti.”

Non mi pare che questa definizione lasci molto scampo.
Va di conseguenza che anche un blog semplice come questo, pur senza inserzioni pubblicitarie (di solito mirate all’utente), senza alcuna vendita (e quindi dati di pagamento), ma con la sola gestione degli indirizzi email per i commenti e l’iscrizione alla newsletter (e l’indirizzo email è un dato personale dell’utente) deve comunque adeguarsi a questa nuova legge.

 

Come mettersi in regola
La diligenza del buon padre di famiglia

In rete trovate anche una vasta scelta di testi, più o meno tecnici, su come attuare gli adempimenti del GDPR all’interno del vostro blog, ma tutti concludono tristemente con lo stesso avvertimento: “Il nostro articolo ha puramente valore informativo. Vi invitiamo pertanto a consultare il vostro legale di fiducia.” E così sono bravi tutti.

Il fulcro del problema è che lo stesso regolamento non è del tutto chiaro, delinea una direzione da seguire, ma a livello pratico è difficile darne un’unica interpretazione. La stessa guida del Garante della Privacy Italiano “è soggetta a integrazioni e modifiche alla luce dell’evoluzione della riflessione a livello nazionale ed europeo” (Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali) E se non lo sa lui come applicare questa norma, come lo possiamo sapere noi blogger squattrinati?!

Allora mi è tornata in mente una lezione di Diritto delle superiori: in tema di adempimenti, uno dei criteri di misurazione della diligenza del debitore nei confronti del creditore, qualsiasi sia l’obbligazione che li lega, è il concetto della “diligenza del buon padre di famiglia” che ha origine dall’antico diritto romano (in latino bonus pater familias). Ed è questa diligenza che ho inteso di utilizzare nei confronti degli utenti, cercando la soluzione migliore per la loro protezione.

In tutto questo, WordPress ha rilasciato in ritardo gli aggiornamenti previsti per l’entrata in vigore del GDPR: la release 4.9.6 era prevista per i primi di maggio, spostata al 15/5, poi di nuovo al 17/5 per vari bug riscontrati in fase di test e infine è arrivata alle 22.14 di sera, un altro giorno perso! Ci si aspettava grandi cose, ma alla fine c’è solo una pagina dedicata all’informativa privacy con una guida per la compilazione sulla base dei plugin installati.

Così ho iniziato ad analizzare ogni componente del blog, per vedere quali gestiscono i dati personali degli utenti, in particolare:

  • i commenti inseriti dai lettori;
  • il filtro antispam dei commenti (in genere è un servizio di terzi che verifica sia l’indirizzo email che il testo del commento);
  • moduli di contatto, che restino salvati all’interno del sito stesso (il mio modulo invece invia una mail diretta e non lascia nulla sul blog);
  • moduli di registrazione di email marketing con servizi esterni che accedono agli indirizzi;
  • moduli di condivisione dei contenuti sui social;
  • statistiche di accesso e traffico, se non vengono anonimizzate;
  • backup automatici, se attiva la conservazione nel cloud presso terze parti.

Per ognuno di questi, sono andata alla ricerca della loro privacy policy, perché la stessa deve essere inserita nella mia informativa quale dettaglio di approfondimento per gli utenti.
Una volta redatto il nuovo testo della privacy policy, che spieghi appunto in maniera chiara e concisa come trattiamo i dati personali dei lettori, l’articolo 32 è quello che maggiormente ci interessa del GDPR, perché quello che vogliamo ora è il consenso dei nostri lettori su come tratteremo i loro dati personali:

Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.

Di conseguenza tutti i moduli di acquisizione devono contenere una casella con cui l’utente possa esprimere il consenso esplicito alla stessa privacy policy. Non è sufficiente scriverla e pubblicarla, dobbiamo essere certi che l’abbiano letta e compresa.
Ecco perché in una sola settimana sono arrivati gli aggiornamenti di praticamente tutti i plugin attivi: ognuno di loro stava a sua volta inserendo le modifiche per il GDPR. Ed ho dovuto testarli nuovamente tutti quanti!

Alla fine, questa è la nuova informativa sul trattamento dei dati personali del blog: Privacy Policy

 

La confusione con la Cookie Law

Qualcuno ha scritto che la normativa GDPR non modifica affatto le disposizioni già in vigore in materia di cookie, regolamentati dalla Direttiva ePrivacy (conosciuta come Cookie Law).
Purtroppo non è vero, e credo ve ne siate accorti pure voi.

Dal momento che il GDPR richiede un consenso preventivo al trattamento dei dati personali, e dato che pure i cookie concorrono a questo trattamento, tutti dobbiamo adeguare la barra informativa che compare in automatico al primo accesso al sito: prima bastava semplicemente notificare agli utenti che il blog fa uso di cookie e che continuando a navigare ne avrebbero accettato l’utilizzo.
La maggior parte dei plugin per visualizzare questi messaggi salvava già i cookie sul browser dell’utente. Inoltre era sufficiente scrollare il blog per fornire un consenso tacito.

Con il GDPR, nessun cookie deve essere salvato nel browser prima che l’utente abbia effettivamente accettato con un’azione esplicita, quale il click su un pulsante di conferma. Non è necessario elencare tutti i cookie di cui si fa uso, ma il banner deve contenere il collegamento all’informativa specifica dei cookie, dove sia indicato che tipo di cookie si utilizzano e per quali scopi.

Purtroppo qui è dove ho riscontrato maggiori difficoltà. Gli sviluppatori dei relativi plugin hanno iniziato gli aggiornamenti solo su richiesta degli utilizzatori. Per non parlare di quelli che hanno rilasciato nuove versioni con codice bacato, appositamente per richiedere il support a pagamento. E più di qualcuno ha ceduto al ricatto (se pubblicizzi un plugin gratuito deve fornire almeno le funzionalità base che dichiari, non dire agli utenti che è un problema di configurazione quando invece solo la versione a pagamento blocca effettivamente i cookie in entrata!) Dopo aver testato 6/7 componenti diversi, ho finalmente trovato quello giusto (tra l’altro di sviluppatori italiani!)

Ho aggiornato anche l’informativa sui cookie, cercando di renderla semplice da un lato e specifica dall’altro, fornendo all’utente anche tutti i link per imparare a gestire i cookie o, eccezione rispetto agli altri testi, sfruttare la navigazione anonima del proprio browser. Potete leggere l’informativa aggiornata qui: Cookie Policy

 

Blogspot e WordPress.com

Le considerazioni fin qui fatte si applicano ad un blog come questo, con una piattaforma (in questo caso WordPress, ma potrebbe anche essere Joomla) installata in uno spazio proprio, a mie spese e responsabilità. Occorre invece ragionare diversamente per quelle società che offrono un blog gratuito all’interno del loro stesso spazio web, come Blogspot (ora Blogger) e WordPress.com.
Si potrebbe infatti pensare che in questo caso i responsabili del trattamento dei dati personali dei vostri lettori siano queste società stesse, che li acquisiscono e li gestiscono per voi, ma se voi avete accesso, anche solo in visibilità, degli indirizzi email dei vostri iscritti, siete contitolari del suddetto trattamento (art. 26 del succitato GDPR).

Di conseguenza, rientrate comunque nell’obbligo di scrivere la privacy policy del vostro blog (linkare solamente quella della piattaforma temo non sia sufficiente… ma chi sono io per dirlo?), spiegando semplicemente agli utenti a quali dati avete accesso, cosa ne fate, cosa è in vostro potere e cosa invece è demandato al servizio fornito dalla piattaforma stessa (e solo qui linkerei la loro privacy policy).

Se a questi servizi poi ne affiancate altri di mail marketing (ad esempio, la gestione di una newsletter tramite MailChimp o MailPoet, che venga pubblicizzata nello stesso blog tramite modulo di iscrizione), di questi ulteriori indirizzi email siete assolutamente responsabili senza indugio. E anche questa gestione va specificata nella vostra privacy policy.

E ricordate che l’informativa privacy deve risultare ben visibile dalla vostra homepage, nonché dal menù: gli utenti devono poterla trovare facilmente in qualsiasi momento.

 

Vi siete re-iscritti a webnauta?

Cari lettori, se eravate iscritti alla mia vecchia newsletter, dovreste aver ricevuto l’ultima mail prima dell’entrata in vigore del GDPR in cui vi invito a iscrivervi nuovamente. Potete farlo anche nella sezione qui a destra. Qualcuno dice che non era necessario, ma preferisco essere certa che i miei lettori abbiano letto davvero la nuova informativa privacy. Se il mio Disclaimer l’ho intitolato “Naviga tranquillo in questo oceano” è perché ai miei lettori io ci tengo!

Sharing is caring! Condividi questo post:

Comments (49)

Daniele Imperi

Giu 01, 2018 at 9:49 AM Reply

Oltre all’indirizzo email gestisci altri dati personali, come nome e cognome di chi commenta, ti scrive, riceve gli aggiornamento, oltre al suo indirizzo ip.

Come fai a bloccare l’accesso ai dati? I dati lasciati nei commenti sono presenti nel backend di WordPress e in quello delle altre piattaforme, oltre che nei rispettivi database: come fai a bloccarne l’accesso?
Risposta: non puoi.

Come al solito, questa è l’ennesima legge sul web scritta da ignoranti in materia.

Dati portabili: cosa sono? Se hai un blog su Blogger, come se li portano via quei dati?

Non è sibillino quel testo che hai citato: è burocratese, linguaggio creato per diffondere confusione.
Hai ricevuto decine di email del tipo “Vuoi restare con me?” Le ho cancellate senza neanche aprirle. Ma dove avete letto che bisogna far iscrivere di nuovo chi s’è iscritto alla vostra newsletter?

Lascia perdere Iubenda, che ha fatto i soldi con la storia della privacy. Quel testo dice chiaramente “un’azienda, un istituto o un’istituzione nazionale, così come un’associazione, un sindacato, partito politico e altre forme di organizzazioni. Gli unici esenti sono (altre) persone fisiche.”

Tu, come me, sei una persona fisica, indi esente.

Sui commenti non ho nessuna intenzione di mettere la casella per l’accettazione del trattamento dei dati personali, mi sembra un’assurdità, oltre a essere un vero ostacolo per i commenti.
Questa gente sta distruggendo pian piano il web. E ci sta riuscendo. Sono tentato anche io di chiudere tutto e mandare al diavolo le follie di questo paese e della UE.

Il banner della cookie law che copre i contenuti è un’altra follia. Coprire i contenuti, ma ti rendi conto? Non sarebbe stato meglio obbligare 4 browser in croce ad avvisare gli utenti che navigando gli si sarebbero installati dei cookie, anziché imbrattare milioni e milioni di pagine web, rallentando l’accesso alle informazioni?

Barbara Businaro

Giu 01, 2018 at 6:21 PM Reply

Gli indirizzi IP sono dinamici e, a meno di accedere ai registri riservatissimi dei provider, nessuno è in grado di risalire all’utente che lo sta utilizzando in quel momento. Il nome e cognome potrebbero essere fasulli, molto più dell’indirizzo email che invece deve essere valido e attivo per ricevere la newsletter (non per i commenti, anche lì potrebbe essere fasullo, ma rischierebbero di finire nello spam). Per questo considero attendibile solo l’indirizzo email.

Nel nostro caso il blocco all’accesso ai dati corrisponde alla loro cancellazione dal database (non condivido nulla dei miei dati con wordpress.com): posso cancellare i commenti dell’utente e la sua registrazione alla newsletter, non posso ovviamente cancellare le notifiche dei suoi commenti nella casella email degli altri commentatori.

Il diritto alla portabilità è indicato “ove tecnicamente possibile”. E’ chiaro che in un blog non ha alcun senso: spostiamo i commenti da un blog all’altro? I commenti sono un dialogo, si possono cancellare (anche se preferirei renderli anonimi a questo punto) ma non spostare.

Non ho letto che occorra per forza far iscrivere di nuovo gli utenti, è una cosa che dipende dal mio tool di email marketing. Il GDPR richiede che il titolare del trattamento possa dimostrare in maniera inequivocabile che l’utente ha dato consenso esplicito alla privacy policy (o alla nuova privacy policy?). MailPoet versione 2 non salvava a database quest’informazione, di conseguenza ho dovuto aggiornare il modulo e richiedere nuove iscrizioni. Ho perso solo 200 indirizzi, molti dei quali mi leggono arrivando dai social direttamente. Sta poi ad ognuno degli altri blogger analizzare la propria situazione.

Per il resto, è solo una questione di abitudine. Come i cuoricini al posto delle stelline di Twitter, come le nuove emoji di Facebook, come la nuova interfaccia di Gmail. Come il telefono con i tasti al posto della rotella… 😀

Daniele Imperi

Giu 04, 2018 at 8:08 AM Reply

In alcuni casi è impossibile dimostrare in maniera inequivocabile che l’utente ha dato consenso esplicito alla privacy policy. Se usi Feedburner, come fai a provarlo?
Ecco perché dico che questa è l’ennesima legge fatta da ignoranti in materia.

Barbara Businaro

Giu 04, 2018 at 11:53 AM Reply

Se usi Feedburner, lo devi chiedere a Feedburner come fa a essere GDPR compliance (e in effetti nei gruppi di assistenza lo stanno chiedendo…). E se un plugin non si è adeguato, tocca cambiarlo con un altro che si sia messo in regola.
Che la legge sia imperfetta sicuro, lascia troppi spazi a dubbie interpretazioni. Però ammettiamolo: al momento la Privacy non è percepita come un valore, ma come un disturbo e questo a danno dei cittadini che spesso firmano i moduli senza capirli. Qualcosa bisogna pur fare.

Darius Tred

Giu 01, 2018 at 10:11 AM Reply

Ho fatto qualcosina per il mio sito anche se, devo essere sincero, non sono convinto fino in fondo di aver accontentato il GDPR su tutti i fronti. Per il resto, mi sono re-iscritto alla newsletter di Webnauta per scroccare alla grande articoli come questo! 😀 😀 😀 .

Ho dato una riverniciata alle mie Policy e niente più.
Sono stato agevolato dal fatto di non avere newsletter (cioè: ce l’avevo ma non l’ho mai pubblicizzata e ho avuto solo due iscritti: io e Darius 😀 ) e di non avere moduli di contatto in cui aggiungere la famosa spunta obbligatoria.

A proposito di questa spunta, mi fa un po’ sorridere quella tua frase “dobbiamo essere certi che l’abbiano letta e compresa”. Diciamoci la verità: anche prima del GDPR, chi mai leggeva tutte le informative di questo mondo?? Non dico solo quelle dei siti, ma anche quelle di ogni programma che si installa sul pc. Oppure l’elenco degli accessi che chiede un’app appena la installi sul tuo smartphone? Al massimo possiamo essere certi che l’informativa è stata visualizzata, ma sul “letto e compreso” nessuno al mondo avrai mai la certezza.

Come Amazon: può essere certo di averti venduto il libro, ma non potrà mai sapere se l’hai letto e compreso, nemmeno se lo recensisci! 😛

Quindi credo che andremo avanti a cliccare sul bottoncino “Accetta” per tutti i secoli dei secoli.

E osserviamo un minuto di silenzio per quel povero cristiano che dovrà fare il Garante della Privacy perché voglio proprio vedere come faranno a verificare tutte le presunte segnalazioni di violazione del GDPR… 😛

Barbara Businaro

Giu 01, 2018 at 6:22 PM Reply

Scroccone!! 😀 😀 😀
Non potrei rinunciare né alla newsletter, perché taglierei fuori chi non ha piacere di usare i social e chi non è iscritto a wordpress.com, e nemmeno ai moduli di contatto visto le belle email di apprezzamento che qualche lettore mi manda direttamente e che fanno sempre piacere.
Sulle informative, hai ragione: fino ad ora quelle chilometriche dichiarazioni erano inutili e illeggibili ai più, proprio per questo adesso è richiesto un linguaggio chiaro e non tecnico, lasciando i riferimenti in una formula estesa dell’informativa stessa. Vedremo se all’atto pratico sarà davvero così. E quanti servizi gratuiti continueremo ad utilizzare una volta scoperto che fine fanno i nostri dati…
Già ora Google Analytics è diventato perfettamente inutile: secondo lui, dal 25/5 questo sito ha avuto una picchiata da 350 a 80 utenti/giorno! Fortuna che le statistiche del web server presso l’hosting provider attestano invece che gli accessi sono addirittura in salita! Staranno tutti leggendo la nuova privacy policy? 😀

Silvia Algerino

Giu 01, 2018 at 11:37 AM Reply

Beh, come al solito noi in Italia manco abbiamo la legge che regola il GDPR, quindi ancora più difficile capire e sapere che cosa bisogna fare.
Io ho seguito parecchi corsi sull’argomento ed era opinione comune che un blog rientra del tutto nella normativa in quanto ha a che fare con registrazione e/o trattamento dei dati personali.
Sono comunque abbastanza convinta che, almeno nei primi tempi in cui è difficile capire che cosa fare esattamente, nessuno si metterà a multare i blog.
In un incontro di alcuni esperti col garante della privacy è stato confermato che i controlli verranno fatti a partire da quelle aziende che necessitano di DPO e che sarà fondamentale aver almeno avviato le procedure per mettersi in regola.
Tra l’altro se ne parla tanto sul web, ma “nella vita reale” è argomento semi-sconosciuto. Moltissimi commercialisti ancora non sanno nulla del GDPR e nemmeno hanno avvisato i clienti. Eppure riguarda chiunque abbia elenchi di dati personali, fosse anche registrati sulla carta del prosciutto.
Proprio ieri mi è capitato il caso di un commercialista che tranquillizzava la sua cliente che ha un e-commerce dicendo che in Italia entrerà in vigore tra alcuni mesi. Tanto per dire.

Barbara Businaro

Giu 01, 2018 at 6:23 PM Reply

Credo anch’io che non ci saranno multe per i blog semplici come i nostri, diversamente invece da quelli di certi guru per cui il blog è parte integrante del loro stesso business. Nella vita reale, alla segretaria della mia palestra ho dato io qualche dritta per il loro sito e relativa newsletter, oltre che ascoltare come te varie risposte-barzellette dei clienti di amici web developer e consulenti seo, per cui nemmeno mi stupisco di quel commercialista! Fatalità però dal 25/5 sono cessate di botto le telefonate dei call center… 😀

Alessandro Blasi

Giu 01, 2018 at 12:58 PM Reply

Non ho parole per questa nuova “rottura” imposta dall’Unione Europea. Le nottate le abbiamo passate tutti in bianco (noi che ci siamo stati dietro… gli altri no) e sono vicinissimo a chi di mestiere fa il webmaster che ha dovuto mettere a norma decine di siti tutti insieme!!

Barbara Businaro

Giu 01, 2018 at 6:23 PM Reply

Oggi che è uscito questo mio post Alex sono tempestata di mail di richieste: “Ma secondo te anch’io… ??” 😉

Sandra

Giu 01, 2018 at 2:15 PM Reply

Insomma, l’ennesimo grande boh. Io spero di essermi messa in regola arrangiandomi come ho spiegato da me e tu hai letto, per il resto no, non mi sono riscritta perché ti leggo comunque e preferisco alleggerire la casella di posta.

Barbara Businaro

Giu 01, 2018 at 6:23 PM Reply

Quest’anno però la newsletter servirà anche ad altro, ci stiamo lavorando su… 😉

Massimiliano Riccardi

Giu 01, 2018 at 3:04 PM Reply

Che due palle! Posso dirlo? Perdonami.
Ho incominciato ad adeguarmi soltanto per timore di future sanzioni, però… come sopra 😀
Ho fatto copia e incolla rubando qua e la da altri blog, adesso mi leggo bene il tuo articolo e sistemo meglio.
Per quelli che sono i miei interessi tu e Daniele Imperi siete meglio di wikipedia, lui però non l’ho mai ringraziato (rimedierò), lo consulto spesso, anche andando a leggere articoli vecchissimi
E tu, che dire, sei una forza. lo specifico tecnico del blogging è un mistero per me, quindi grazie per il tuo lavoro.

Darius Tred

Giu 01, 2018 at 4:05 PM Reply

Ma tu non hai mica scritto un libro sul GDPR ?!?
Pensavo che “Tutto è tenebra” fosse riferito alla normativa GDPR… 😀 😀 😀

Massimiliano Riccardi

Giu 01, 2018 at 8:12 PM Reply

Darius, belin, mi caschi sulla trama,Tutto è tenebra è la storia di uno che non paga le bollette.

Barbara Businaro

Giu 02, 2018 at 12:45 PM Reply

Ma “Tutto è tenebra” non è la storia di un Harleysta trovatosi per sbaglio ad un raduno di giapponesi? Gnik gnik gnik…

Barbara Businaro

Giu 01, 2018 at 6:24 PM Reply

Che giramento di ovaie, diciamolo! 😀
Quest’anno avevo espresso il desiderio di occuparmi solo di scrittura e di non toccare più una riga di codice, e invece con questo GDPR giù di nuovo a fare il tecnico informatico invece che lo scribacchino! Devo imparare ad esprimerli meglio questi miei desideri…
Grazie per la forza, è forza di peaker! In My Peak Challenge ci allenano a mantenere i muscoli e la pazienza… io però vado meglio con i muscoli! 😀
(infatti ci ho messo un’altra settimana a scrivere questo articolo, prima dovevo riportare ai valori normali il fegato…)

nadia

Giu 01, 2018 at 4:27 PM Reply

Io se non avessi avuto a chi chiedere sarei ancora come la bollicina a chiedere C’è nessuno? Per me tutto questo anche se spiegato nel dettaglio nel tuo post, resta arabo, e io si sa che con le lingue straniere non ho molto affiatamento.
Penso che sia una strategia per far vendere pastiglie per il mal di testa a chi si occupa di sistemare i siti, o per aumentare le complicazioni a chi la vita ce l’ha già abbastanza complicata. Tra le mille cose che ho sentito in giro credo che la migliore sia di rispondere ai call center se si sono adeguati con il gdpr, e non sogno altro che di farlo in risposta.
Per il resto mi associo al Bo di Massimiliano,

Barbara Businaro

Giu 01, 2018 at 6:26 PM Reply

Pastiglie per il mal di testa no, ma consolatori quadratini di fondente all’85% sicuro!
Che poi mi tocca smaltire in palestra… stai a vedere che dietro il GDPR ci sono le associazioni sportive?! 😀

Elena

Giu 01, 2018 at 8:52 PM Reply

Ciao Barbara, come sempre sei approfondita e esaustiva. Intanto mi sono iscritta nuovamente alla newsletter, visto che hai deciso di azzerare tutto. Quanto al DGPR, come sai ho già affrontato il tema, in modo molto più tranquillo di te. Il buon senso mi ha spinto ad aggironare tutto ciò che potesse garantire ai miei lettori che non sono strumentalizzati e che possono leggermi o lasciare il blog quando lo desiderano, senza faticosissimi giri come spesso accade, specie per siti promozionali o di ecommerce.
La legge va interpretata, a mio avviso tra un po’ ne comprenderemo meglio i contorni e, almeno per noi blogger che usano a livello personale la blogosfera, fortemente ridimenzionata. Posso sbagliarmi. Intanto i consulenti si sono fatti un pò di soldini… Come al solito
Buona serata

Barbara Businaro

Giu 02, 2018 at 12:46 PM Reply

Cara Elena, come ho scritto anch’io ho usato il buon senso (“la diligenza del buon padre di famiglia” questo è), solo che sono un tecnico informatico e non posso permettermi come professionista di avere un sito, anche solo un blog personale di scrittura creativa con piattaforma opensource, che non rispetti la mia professionalità, ti pare? Ecco perché l’ho presa particolarmente a cuore. Poi come informatico ho visto in questi giorni di quelle cose subdole da vergognarmi della mia stessa categoria, non solo dei consulenti.
Sull’interpretazione della legge… direi che è uno dei mali dell’Italia, dove a furia di libere interpretazioni si finisce con lo stravolgere i concetti più basilari, persino in capo alla Costituzione! 😉

Calogero

Giu 01, 2018 at 8:54 PM Reply

Ringrazio il cielo di non avere un blog, che questa storia mi sembra come quella del deposito obbligatorio: pochi sanno che esiste e tutti se ne sbattono alla stessa maniera. Se il burocratese non lo digerivo prima, figuriamoci adesso. Tu comunque sei stata l’unica a chiedermi la reiscrizione; dagli altri, comprese diverse aziende, ho ricevuto giusto un’informativa, a volte sbrigativa, e qualche rassicurazione. I peggiori? Le istituzioni, ovviamente. Non perdono mai occasione di attestarsi come maglia nera: nemmeno una striminzita informativa di due righe. E’ così che chi ne fa parte coltiva la fiducia della gente nelle istituzioni.
Alla fine il GDPR sarà solo l’ennesima occasione persa di migliorare le cose, perché chi legifera deve sempre e comunque decretare tutto e il contrario di tutto al tempo stesso nell’ambito della stessa norma (quando riescono a non creare panico e confusione promulgando due norme in aperto conflitto di senso e di intenti).

Domanda: prima che inventassero i cookies (soprattutto quelli subdoli di tracciamento e profilazione) il web era ugualmente navigabile oppure no? È proprio necessario analizzare (a volte in tutti i sensi 🙁 ) l’utente? Davvero non si può usufruire di un web pulito, libero da fastidiosi infestanti?
A volte un passo indietro può essere la soluzione migliore. Non sempre il progresso fa il suo dovere con scrupolo e coscienza, e una piccola stringa può essere un’arma potente…
Che si stesse meglio quando si stava peggio? (come disse Nonsokì)
Meditate, gente, meditate…

Affezionatamente vostro,
Riservatezza Fatta Persona.

Barbara Businaro

Giu 02, 2018 at 12:47 PM Reply

Le grandi aziende possono permettersi di mandare solo una notifica di cambio dell’informativa perché hanno sicuramente già un trattamento di dati personali ben congegnato. Mi spiego: il GDPR richiede che l’utente abbia fornito esplicito consenso e, in caso di ispezione, il titolare deve dimostrare questo consenso. A livello informatico, banalmente dev’essere salvata la data e ora, l’utente, la versione dell’informativa (che potrebbe corrispondere a quella in essere in quella data e ora) e i vari check dei consensi, se sono più d’uno. Sicuramente il signor Amazon ha una struttura informatica già adeguata a questo sistema, perché gestisce un ecommerce e salvare informazioni come queste è il minimo (anche nelle base dati che gestisco col mio lavoro, la tabelle degli utenti salvano di tutto e di più!). WordPress stesso salva queste informazioni sui suoi utenti, che non sono quelli della newsletter né i commentatori, ma gli utenti che hanno login in wordpress (nel mio caso, solo io, perché anche i guest post mi sono mandati per mail e poi li riporto io sul blog). Vari plugin delle newsletter, soprattutto se gratuito, questa gestione non ce l’avevano, l’hanno introdotta col GDPR, da cui la necessità di richiedere l’iscrizione, salvando tutti i dati necessari.

I cookies c’erano ancora ai tempi di Netscape, presente? E una delle lezioni base di programmazione per il web è salvare e leggere un cookie da una pagina web. Di fatto, qualsiasi preferenza si voglia in consultazione di un sito (dal colore personalizzato, alla stessa login, quel “Ricordami la prossima volta” dopo aver inserito username e password che può durare anche un mese) si trasforma in un cookie dentro il proprio browser. Se vuoi veder un navigare pulito, senza infestanti, prova la navigazione anonima: niente cronologia, niente cookie, niente file temporanei, però hai i bookmark. Un navigare “pulito” che in genere viene usato per siti “sporchi”… 😀

Calogero

Giu 02, 2018 at 6:05 PM Reply

Netscape? Sì, presente, ne ho sentito parlare (da te, proprio adesso 😀 ). Il termine mi fa tornare alla mente ricordi frammentari di vecchi notiziari (processo a Microsoft e cose così).

Alcuni cookies conservano le credenziali dell’utente e altri dati di questi. Domanda: nel momento in cui un hacker, o cracker che sia (non mi è ben chiara la differenza), decripta un cookie di autenticazione, cosa gli impedisce di avere accesso ai miei dati personali o usare le mie credenziali per i suoi scopi (anche solo accedere al tuo blog e lasciare un commento lesivo a mio nome o arraffarsi i dati degli altri tuoi utenti, senza scomodare attività ben più losche)?
Secondo l’OWASP, la manipolazione dei cookies è uno dei 20 attacchi più utilizzati dagli hacker.
E dei cookies cosiddetti “di terze parti” ne vogliamo parlare? Per nulla indispensabili, ma nemmeno utili se è per questo, solo invadenti, invasivi e lesivi addirittura. Un’autentica minaccia alla privacy dell’utente.

Hai ragione quando lasci intendere che determinate tipologie di cookies (sottolineo ‘determinate tipologie’) favoriscono la navigazione, ma non bisogna dimenticare che esistono e vengono largamente utilizzati cookies, come quelli pubblicitari ad esempio, o i ‘Like’ e ‘Segui’ tanto in voga sui social network, che ci spiano (letteralmente) e tracciano profili sulla base dei dati personali (e sottolineo anche ‘personali’) che raccolgono, o forse sarebbe più giusto dire arraffano (sai cosè la pubblicità comportamentale, no?)
Tu che sei esperta in materia mi dirai: “Caro Riservatezza Fatta Persona, perché non ti attrezzi con un buon browser che ti permetta di bloccare i cookies di terze parti, così la finisci di rompermi le scatole con questa storia?” al che io dovrò per forza risponderti: “Ma, cara Barbara, cosa credi che abbia fatto? E ciò nonostante il mio provider e tutti gli altri continuano a memorizzare sul mio pc i loro stramaledettissimi cookies di profilazione, mannaggia!!!”
Quanto contano in questi casi la mia volontà, la mia privacy, i miei pochi e malfermi diritti di internauta? Quanto un due di picche! Quanto un soldo falso bucato! Quanto una popò di cane sotto la suola della scarpa! Un mero fastidio di cui i “Profilatori Folli” farebbero carte false per liberarsi (e già li vedo, infami lobbysti, circondare i centri di potere [Washington, Bruxelles, Londra…] come un branco di sciacalli affamati e fare pressioni su quegli “integerrimi galantuomini” che siedono nella stanza dei bottoni, piangendo miseria e lamentando l’ingiustizia che anche la gente comune [brutti cattivoni] vuole avere dei diritti nonostante sia solo una comunità di morti di fame).
Esiste la libertà? Certo… per chi può permettersi di comprarla.
E che dire dei famigerati (sì, famigerati) zombie cookies (fonte: Wikipedia) che possono essere eliminati dal pc giusto con un bombardamento atomico?
E nel momento in cui qualche smanettone con un Q I di tutto rispetto, un’inventiva particolarmente vivace e scarso senso della legalità dovesse inventarsi un cookie in grado di installare back door cosa facciamo, buttiamo via pc, telefoni e tablet e torniamo ai segnali di fumo?
L’alternativa quale sarebbe, inserire tutti in black list, motori di ricerca compresi (perché anche questi annidano i loro piccoli biscotti negli hardware dei nostri pc, telefoni, ecc.), con la conseguenza di isolarsi dal mondo?
La realtà dei fatti è che il web è sempre più a misura di “webbysta” (concedimi questo personale neoconio) e sempre meno a misura di navigatore, almeno dal punto di vista della privacy e dei diritti di chi naviga (nell’età del silicio non poter accedere a determinati servizi a meno che non si accettino i cookies suona più come un ricatto che come una necessità degli operatori del web).

La navigazione anonima non incontra le mie esigenze. Nonostante sia possibile semplificare la navigazione salvando le pagine visitate nei segnalibri non sono disposto a rinunciare alla cronologia, senza la quale non avrei potuto fare leva sul mio provider rimostrando che i tre Giga di traffico mi erano stati carpiti caricando 5 pagine appena.

A proposito di segnalibri… domanda: anche i segnalibri memorizzati sul browser vengono profilati tramite i cookies?

Domanda2: Anche il gravatar è tracciabile?

Barbara Businaro

Giu 03, 2018 at 3:18 PM Reply

Uhm, sono talmente tante domande che mi è difficile rispondere a tutte senza doverti mandare una fattura per la consulenza! 😀 😀 😀
Tu ti lamenti dei cookie di profilazione ed utilizzi quella casella di posta lì? Non dirò quale, perché è un dato personale, ed è tra l’altro uno dei servizi che utilizzo anch’io, perché ahimè è molto comoda. Ma sappi che quella casella lì è passata a setaccio in continuazione dai crawler e la maggioranza della pubblicità che trovi profilata nel web è dovuta anche ai contenuti delle tue email private. Com’è possibile? Hai accettato un accorso col fornitore che prevede pure questo. Come pensi possano questi grandi colossi offrire a tutti 2 gb di casella email gratuita senza averne proprio nulla in cambio?
E tu sei convinto che il male del mondo siano i cookies dei blog…
Poi vorrei capire: quali dati incredibili contiene il tuo computer per cui un hacker professionista dovrebbe prendersi il disturbo di venire a leggertelo? Lo sforzo dell’hacking è in proporzione al risultato e carpire le tue credenziali su questo blog non vale certo settimane di lavoro. E’ statisticamente più probabile che tu prenda un virus, trojan, worm, ransomware, spyware o keylogger da qualche chiavetta usb di un amico, dandogli esecuzione tu stesso, che né dal web. Sempre che, e lo do per scontato, tu abbia un decente antivirus attivo, completo di firewall. Mettersi online senza antivirus è molto più pericoloso che… sedersi sulla tavoletta del bagno all’autogrill! 😉

Calogero

Giu 03, 2018 at 4:16 PM

Se uso quella casella di posta lì è solo per ignoranza in materia. Chi ha migliori competenze delle mie ne parlava bene pertanto mi sono convinto che fosse una buona scelta. Anche se decidessi di cambiarla non credo che comunque troverei il sacro graal delle caselle email (ad ogni modo hai fatto bene a dirmelo 😉 ): è il sistema ad essere marcio.
Il mio non vuole essere un attacco frontale ai blogger, mi sembra abbastanza chiaro; oramai i cookies si prendono come i raffreddori; te li attaccano pure quando vai dal fornaio a prendere le brioches. Ripeto: è il sistema ad essere marcio.
Fermo stando che nell’universo reale e in quello virtuale non ci sono soltanto io con i miei infimi, inutili, irrilevanti, patetici, insignificanti “segretucci” che non meritano nemmeno che a sprecarci del tempo sia un aspirante smanettone che parte dal basso per fare pratica (il mio ragionamento è più generale che personale), pur capendo perfettamente che al prossimo delle sciocchezze personali degli altri importa qualcosa solo nel momento in cui può cavarci qualcosa, è così impensabile e inopportuno considerare che per me le foto del mio cane in bikini possano avere un valore personale elevato? Lo è anche il mio legittimo desiderio (e diritto) di non condividerle con chi nemmeno conosco, con il primo “guappariello telematico” che passa? Lo sarebbe altrettanto se sul pc serbassi gli estremi di un mio eventuale conto online, o ritenere che esista gente che ci campa svuotando i conti correnti altrui è pura paranoia?
Per la terza volta: è il sistema ad essere marcio.

Barbara Businaro

Giu 03, 2018 at 8:07 PM

Beh, il problema è che non ne conosco uno di sistema pulito… Forse gli eremiti buddhisti in Tibet.

newwhitebear

Giu 01, 2018 at 10:43 PM Reply

grazie per l’articolo chiaro ed esauriente.
è vero che posso vedere gli indirizzi di mail sia pure con qualche limitazione, ovvero quelli allegati ai commenti e non tutti. è vero che askimet filtra lo spam e jetpack la mia autenticazione. ma… io non li colleziono né li memorizzo da qualche parte. per cui da qualche parte dovrei aggiornare la mia policy dicendo che posso vedere indirizzi di mail che però li raccoglie wordpress e altri ma essere considerato contitolare mi sembra una forzatura.
Riporto per chi non ha letto il regolamento l’articolo 26
Articolo 26 Contitolari del trattamento

1. Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati.

2. L’accordo di cui al paragrafo 1 riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell’accordo è messo a disposizione dell’interessato.

3. Indipendentemente dalle disposizioni dell’accordo di cui al paragrafo 1, l’interessato può esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun titolare del trattamento.
Posso essere considerato contitolare dei dati solo e se WordPress mi nomina tale e mi consente l’accesso ai suoi database. Il fatto che me li mostri è un problema di WordPress e non mio né posso chiedere il consenso a vederli ai diretti interessati. Se qualora me lo negassero non ho strumenti per impedire il loro commento e neppure la loro visita.
Molto diverso è il caso per http://www.newwhitebear.net – il mio blog WP personale, dove il database lo gestisco io e non WP che invece mi fornisce strumenti e plugin. In questo caso dovrei dotarmi di policy e gestire consensi. Però è in pratica inaccessibile, perché manca dello strumento per richiedere l’autorizzazione a commentare.
In conclusione dovrebbe essere WP a chiedere il consenso a fornirmi l’indirizzo di mail e informare i suoi account come gestisce i loro dati. Io sono passivo e l’unica opzione che ho è chiudere l’account.

Barbara Businaro

Giu 02, 2018 at 12:49 PM Reply

In realtà siete contitolari del trattamento ancor prima dell’entrata in vigore del GDPR, solo che adesso siete tenuti a dichiararlo agli utenti. Il trattamento di un dato personale infatti comprende anche la sola visualizzazione, non necessariamente la gestione (ovvero poterlo modificare, bloccare, cancellare). Per lavoro io ho accesso a parecchi dati sensibili, e sebbene non li posso modificare, ogni volta devo firmare una bella quantità di moduli e si, sono contitolare del trattamento, anche se sono presso un cliente della mia stessa azienda, di cui sono dipendente. Del resto, nel mondo dell’informatica, già vedere un dato sul computer ti dà la facoltà di poterlo salvare da qualche altra parte. Tasto destro, copia, tasto destro, incolla. O ctrl-c e ctrl-v.
Per quanto riguarda i termini del trattamento, quelli dovrebbero (e uso il condizionale) essere presenti nel contratto stipulato tra te e la tua piattaforma (Blogspot o WordPress.com), quel contratto che in genere accettate quando aprite l’account e il blog.
Ai tuoi utenti devi semplicemente dire: vedo i vostri indirizzi email, vi assicuro che da parte mia non ci sarà alcun altro utilizzo che non sia ai fini del presente blog, la gestione dei vostri dati è però demandata a wordpress.com che potete contattare qui…

Per quanto riguarda invece http://www.newwhitebear.net devo correggerti: se si tratta di un wordpress installato da te su tuo spazio web (mi parli di accesso al database, quindi presumo di si), il responsabile del trattamento sei solo tu. Sta a te configurare e amministrare l’applicazione nel modo corretto. Io vedo che hai installato WP Super Cache, Jetpack e BuddyPress. Quest’ultimo dovrebbe essere quello in capo alla tua sezione commenti e quindi devi aggiornare (o chiedere ai loro sviluppatori) per inserirti il check del consenso alla privacy prima di inserire il commento (c’è questa discussione in corso: https://buddypress.org/support/topic/gdpr-compliance/ )
La scelta di quali plugin utilizzare è nostra, non di WordPress, e se un plugin non è GDPR-compliance tocca cambiarlo (come è successo a me per la barra dei Cookie). Lo so, sono cose da tecnico, ma dal momento in cui registri un dominio a tuo nome, anche se fuori dall’Italia, ne sei responsabile.

newwhitebear

Giu 02, 2018 at 5:19 PM Reply

quello che dici su http://www.newwhitebear.net è giusto. Sono il responsabile del trattamento, lo so, ma chi volesse commentare deve fare un giro tortuoso nel senso che dovrebbe compilare un form e chiedere l’autorizzazione. Solo che il form è disabilitato. Possono leggere quello sì, ma non esiste un log dei visitatori. Se Buddy press e Ws cache creano problemi di privacy li posso disabilitare senza rimosrsi. Per jetpack devo vedere. In realtà mi serve solo come collegamento interno per me. Anche qui nessun problema a toglierlo di mezzo.
Per quanto riguarda il mio blog su WordPress ho modificato la pagina di privacy esattamente come hai detto tu. ma essere considerato un contitolare dalla lettura dell’articolo 26 è molto tirato per i capelli. Se non ho inteso male anche il garante da un’interpretazione restrittiva di questo concetto. Il punto più delicato è askimet e gravatar che sono società terze e alle quali WordPress passa i dati personali di chi commenta e i miei. Eliminare gravatar è una bella rogna, perché tutti i blog WordPress, quelli senza wordpress nel nome ovvero a pagamento, mi identificano tramite questo. Viceversa non saprei come funzionano i commenti in assenza di questo. Fino alla versione 50 di Firefox bastava abilitare un javascript, dopo io commento solo in presenza di gravatar. Tutto questo in ambiente linux. In ambiente windows non ci sono problemi, Per questo motivo alcuni blog, esempio Elena Ferro, se voglio commentare devo aprire il pc win. In conclusione un bel guazzabuglio,

Giulia Mancini

Giu 02, 2018 at 7:50 AM Reply

Anch’io oggi esco con un post sulla privacy, di tutt’altro tenore ovviamente, visto che io di informatica non capisco molto. Spero di essermi adeguata. Sai che il post è probabilmente l’unica informativa sulla privacy che ho letto fino in fondo! Mi sono riscritta al tuo blog, però mi arrivano ugualmente anche le notifiche degli altri blog che seguo, tra l’altro a molti non sono iscritta, li ho memorizzati nei preferiti e passo a leggerli quando riesco. A me sembra che come al solito le leggi fatte in questo modo siano soltanto un cumulo di troppe informazioni che, proprio perché troppe, finiamo con non leggerle e quindi non essere informati davvero.

Barbara Businaro

Giu 02, 2018 at 12:50 PM Reply

Le notifiche dipendono da quale piattaforma appartiene il blog: dei blog di wordpress.com anch’io ricevo notifica, senza essermi iscritta ad una newsletter, lì infatti funziona il Lettore di wordpress e basta inserirli nei siti seguiti (se hai anche un account wordpress.com come me); su Blogspot dovrebbe invece arrivarti la notifica automatica se diventi Follower, avendo un account Blogger (io invece lì devo iscrivermi proprio alla newsletter, che però Blogger fornisce in automatico). Alla fine io leggo solo dalle notifiche in casella email, anche quando arrivano i commenti. Il peggio è per quegli incauti blogger che non inviano le notifiche delle risposte ai commenti, io mi dimentico di tornarci, il dialogo si perde, gli accessi restano pochi…

Maria Teresa Steri

Giu 04, 2018 at 2:35 PM Reply

Non entro nel merito della legge, ma mi sembra che come sempre tu abbia fatto un ottimo lavoro con questo articolo. Mi ha colpita quando hai detto che si è passati da chi se n’è fregato completamente a chi è andato nel panico. E questo è quello che ho notato anche io in giro. Tra l’altro mentre tu e altri vi siete affrettati a mandare una mail per la newsletter chiedendo addirittura di reiscriversi, chi mi aveva iscritto in modo coatto nella sua ha continuato a fare come se niente fosse. Segno secondo me che alla fine queste leggi sono giuste ma se non c’è chi le fa rispettare servono a poco.
Da parte mia ci ho capito poco e nulla, ho fatto delle modifiche al blog, ma mi resta l’enorme dubbio se sarebbe stato corretto mandare una mail di avviso per gli iscritti alla newsletter, pure se di fatto non la gestisco personalmente ma fa tutto Feedburner in automatico.

Barbara Businaro

Giu 05, 2018 at 11:25 AM Reply

Se fa tutto Feedburner in automatico, dovrebbero mandarla loro. Se tu hai accesso anche solo in visibilità agli indirizzi email, dovresti mandarla tu in mancanza di una loro notifica. Penso comunque che la cosa migliore sia chiedere proprio a Feedburner, loro di certo non possono ignorare un regolamento importante come il GDPR.
Sarei curiosa di sapere se chi ti ha iscritto in modo coatto nella sua newsletter, conosce le sanzioni previste. Per il vecchio Codice Privacy si rischiava fino a 250 euro ad indirizzo email, perché senza prova della tua volontaria iscrizione, le loro mail vengono inquadrate come spam. Adesso il GDPR potrebbe pure diventare più oneroso per gli spammer e non è questione di ispezioni: è l’utente stesso che può segnalare la cosa al Garante della Privacy. 😉

Maria Teresa Steri

Giu 05, 2018 at 3:54 PM Reply

In effetti la visibilità degli indirizzi ce l’ho, è per questo che mi è venuto il dubbio. Come giustamente dici, dovrò informarmi alla fonte. Grazie 😉

Calogero

Giu 04, 2018 at 7:51 PM Reply

@Barbara: Stando così le cose tanto vale chiudere la rete e navigare in DeepWeb, dove il più pulito ha la rogna ma almeno la cosa è esplicita, e soprattutto nessuno ti corre dietro con i cookies in mano per attaccarteli come la coda all’asino del famoso gioco…

(Ho fatto un nuovo commento perché non c’e il Reply)

Barbara Businaro

Giu 05, 2018 at 11:27 AM Reply

Se ti lamenti di questa rete che c’ha i biscotti, mi chiedo come potresti navigare nella melma liquida del deep web dove non ti bastano nemmeno le mutande in ferro… 😉

Calogero

Giu 05, 2018 at 7:26 PM Reply

I delinquenti incalliti, si sa, hanno un codice d’onore che non si sognano nemmeno di infrangere (nella letteratura e cinematografia), potrei sfruttare questa caratteristica per dormire tranquillo fintantoché navigo in un mare di pirati e tagliagole 😉
Ti trovo anche nei bassifondi? Un capitano senza macchia e senza paura come te non dovrebbe avere problemi a dirigere il suo veliero col vento in poppa dritto verso l’occhio del ciclone…

Barbara Businaro

Giu 05, 2018 at 10:06 PM Reply

Yohoo, la gloria corre nell’aldilà
nel volto vivo o morto, lei ti seguirà…

Calogero

Giu 06, 2018 at 7:55 PM

Anche più in là di quanto immagini! Non ci credi? Prova a dare un’occhiata a questo articolo dell’ http://www.today.it/blog/unione-nazionale-consumatori/e-se-davvero-ci-ascoltassero-i-pericoli-degli-assistenti-vocali.html uscito oggi (spero di non aver fatto un casino con il link).

Tra l’altro ho scoperto che pure il gravatar è un cookie di terze parti.
Non c’è proprio limite all’invasione della privacy. Oramai si può tranquillamente parlare di PROFILAZIONE SELVAGGIA a tutti gli effetti, e diventerà sempre peggio.

Barbara Businaro

Giu 06, 2018 at 8:46 PM

Non ho bisogno di immaginare… credo siano anni che se ne parla a livello informatico-elettronico. Solo adesso che arriva al mercato consumer ci si pone il problema?! Riguardati il film Minority Report (del 2002) e la scena al centro commerciale… 😉

Calogero

Giu 07, 2018 at 7:52 PM Reply

Non hai bisogno di immaginare perché operi nell’ambito del settore informatico. Il consumatore può porsi il problema solo quando gli si presenta, così come l’informatico può rendersi conto di persona che l’armadio preso all’ Ikea non regge il confronto con quello acquistato da un buon artigiano nostrano soltanto allorché porti a casa uno di quegli affari…

Minority report? Non l’ho ancora visto. Magari ci do un’occhiata, sul televisore però, niente streaming… ho paura che nel frattempo qualcuno possa trovare il modo di sfruttare la condivisione dello schermo per profilarmelo senza vaselina e usare la videocamera e il microfono del pc per immortalare le mie espresioni sofferenti condite da gemiti ed espressioni triviali 😀 😀 😀

(Credo ci sia un problema con il Reply)

Barbara Businaro

Giu 07, 2018 at 9:30 PM Reply

Beh, sono stata truffata da ben due diversi artigiani del mobile veneto, mentre all’Ikea trovo sempre chiaramente scritto di che materiale sono fatti i loro prodotti e me li posso anche smontare lì in negozio (e ti posso assicurare che lo faccio). Avrà tanti difetti l’Ikea, ma non giocano sulle parole messe a preventivo. Quel che vedi è quel che avrai, né più né meno.
(Ci sono solo 3 livelli di Reply 😉 )

Calogero

Giu 08, 2018 at 9:44 PM Reply

Così però dai ragione a chi dice che i veneti sono come i napoletani, con tutto il rispetto per gli uni e per gli altri, nell’accezione negativa del concetto (o sarebbe meglio dire pretesto!)
Capisco che le tue intenzioni esulino ben lontano da ciò, ma non si può paragonare qualche mela marcia pescata a caso dal cesto a un sistema collaudato e ben organizzato nel quale troppi propugnatori del profitto con ogni mezzo non si fanno scrupoli perché tanto, oltre al fatto che nella maggior parte dei casi non devono nemmeno metterci la faccia, spesso non è nemmeno possibile sapere in quale parte del mondo andarli a cercare. Chiedi alla polizia postale quante possibilità hai di ottenere giustizia, o quantomeno un risarcimento, nel momento in cui prendi una fregatura via web o vedi i tuoi diritti calpestati; diritti che possibilmente l’ordinamento giuridico neppure riconosce dato che la legislazione del web è lacunosa e ai minimi termini e non tratta nemmeno il minimo indispensabile. Il falegname disonesto se non altro puoi trascinarlo in tribunale e grazie all’opera di un buon avvocato che conosca abbastanza bene l’ordinamento giuridico puoi ottenere di essere risarcita oppure il corretto adempimento di quanto contrattualizzato (nel giro di qualche annetto e tre gradi di giudizio).
Magari l’Ikea ti dirà chiaro e tondo che la merce in vendita nei loro negozi è paccottiglia, magari ti capiterà anche di avere a che fare con un artigiano disonesto, ma nessuno di loro ti sfilerà la carta d’identità, la lista della spesa e la rubrichetta dal portafogli senza che tu nemmeno te ne accorga, perché “deve” a tutti costi sapere i fatti i tuoi e l’ordinamento non gli impedisce di farlo (che una scappatoia giuridica la si trova sempre in quest’ambito), visto che chi di dovere (i legislatori) non solo non fa abbastanza per rendere la rete un’infrastruttura migliore, ma non si sogna nemmeno di affrontare seriamente la questione dal punto di vista etico, umano; perché, non dimentichiamolo, l’utente/consumatore è prima di tutto un essere umano, con tanto di diritti innati e sensibilità.

Affettuosamente tuo,
Indignato Telematico (alias Riervatezza Fatta Persona)

(E tu aggiungine altri 3 [di livelli] 😉 , così andiamo avanti finché le cose non cambiano… in meglio, si spera)

Elena

Nov 05, 2019 at 10:37 AM Reply

Ciao, ho recentemente aperto un blog che ho registrato in modo anonimo. Nell’informativa Privacy alla voce “titolare dei dati” posso mettere il nome del dominio o devo necessariamente inserire i miei dati personali?
In questo sito parlo del mio percorso verso la procreazione assistita per cercare una gravidanza e per privacy vorrei restare anonima.

Grazie in anticipo
Elena

Barbara Businaro

Nov 06, 2019 at 8:25 PM Reply

Ciao Elena e benvenuta sul blog. 🙂
Purtroppo no, il titolare del trattamento dei dati personali deve essere persona fisica o giuridica, non uno pseudonimo. Quindi per rispettare la normativa o inserisci la tua identità e un indirizzo email valido a cui contattarti oppure devi togliere dal sito qualsiasi gestione di dato personale (quindi commenti ai post, invio di newsletter, modulo di contatto). In genere per questi temi delicati, se si vuole rimanere anonimi, si partecipa ai forum già esistenti in rete e gestiti da altri, come alfemminile.com o nostrofiglio.it Anche utilizzare un blog gratuito sotto wordpress.com non ti metterebbe al riparo completo dagli obblighi del GDPR.

Paolo

Apr 10, 2020 at 7:19 PM Reply

Volevo ringraziarla.
Dovendo migrare un sito da gratuito ad hosting mi sono subito imbattuto nella difficoltà sul come poter affrontare le problematiche di privacy. Ho cercato per giorni qualcosa che mi potesse aiutare, ma immancabilmente tutti gli articoli approdavano ad un pessimistico “dovete rivolgervi ad una consulenza professionale se volete essere sicuri di non incorrere in sanzioni” seguito da un bel link ad un’azienda di consulenza (usualmente la stessa…).
Sono alla fine approdato al suo articolo, più ottimistico (per semplici Blogger), ma sopratutto illuminante dal punto di vista informativo. Mi sono messo di buzzo buono e in qualche giorno ho seguito i suoi consigli e finalmente il mio sito (quello di mia figlia, in realtà) ha una sua una pagina sulla politica sulla Privacy. Forse non è perfetto, ma si vede che è in buona fede ed in fondo il sito non lucra con link alle pubblicità. Con buona pace dei visitatori che non si vedranno scippare dati personali.

Barbara Businaro

Apr 11, 2020 at 8:02 PM Reply

Grazie Paolo della sua testimonianza. E benvenuto sul blog! 🙂
Sono contenta che questo articolo sia stato ancora d’aiuto a qualcuno dopo così tanto tempo. Ma mi chiedo anche come sia possibile che dopo due anni dall’approvazione del GDPR ci siano online ancora articoli confusi, per lo più copia-incolla delle stesse prime raccomandazioni del Garante della Privacy, ed esclusivamente finalizzati ad una consulenza a pagamento. Che, diciamolo chiaro e tondo, un blogger per hobby non ha soldi da investirci. Del resto, la recente falla informatica del sito dell’INPS che ha mostrato i dati personali di alcuni profili ad altri utenti collegati ha portato alla luce l’inadeguatezza dell’ente previdenziale proprio rispetto al GDPR (Fonte: Wired.it) Insomma, nemmeno loro lo sanno come mettersi in regola… 😀

Leave a comment

Rispondi a Calogero Annulla risposta