Sito di testing e GDPR

[kairos2020]

Buongiorno,
spero di essere nel posto giusto per il mio quesito.

Sto cercando di studiare i linguaggi necessari alla realizzazione di un sito dove esporre la mia collezione di capsule.

Ho subito compreso che quello che funziona in locale non sempre funziona in remoto, specialmente se
chi programma ha lacune, il mio caso.

Ad ora ho realizzato un paio di pagine che mi pare funzionino correttamente, per il momento ho utilizzato solo HTML CSS e semplici script di JS ora dovrei collegare PHP ed il database.

Ho però un dubbio che mi assilla.

Il sito non registra nessun dato degli eventuali visitatori, non utilizza cookies non ha collegamenti ai servizi di google (i fonti li carico con fontaface), non ho chiesto l'indicizzazione
... insomma solo test ...

La domanda è questa, e su internet non ho trovato nulla in merito, se al caricamento della home visualizzo un
'modale' con un avviso delle finalità del sito, sul fatto di non raccogliere dati e di non utilizzare
cookies invitando eventuali visitatori a non entrare posso considerarmi in regola o rischio destinare la
mia pensione dei prossimi 20 anni al pagemnto di sanzioni ?

Grazie

[dreadnaut]

Se il tuo sito non raccoglie dati personali, né direttamente né via cookie / javascript / terze parti, non è necessario nessun messaggio di avviso.

[frasidipace]

Salve,
ad integrazione di quanto già indicato da dreadnaut, è da notare che anche se il sito (apparentemente) non rilascia cookie di tracciamento, conviene sempre associare ad esso una privacy policy, perché qualsiasi sito ha sempre il servizio di hosting ospitante. E qui può nascere il problema.
Di norma, infatti, gli hosting tracciano dati particolari personali.
Conviene, pertanto, verificare sempre se l'hosting esercita tale tracciamento. Un metodo che posso consigliare è di aprire la policy su Iubenda, aggiungere il solo servizio di hosting e verirficare come la stessa Iubenda genera il banner.
Ad esempio, generando la policy da Altervista su Iubenda, vengono aggiunti automaticamente i servizi di Altervista Platform e Altervista Advertising. Lasciando solo il primo servizio, poiché il sito non ha servizi pubblicitari, il banner generato da Iubenda cita testualmente:
"Noi e terze parti selezionate utilizziamo cookie o tecnologie simili per finalità tecniche e, con il tuo consenso, anche per altre finalità come specificato nella cookie policy".
Accedendo alla cookie policy generata da Iubenda si leggerà per il servizio Altervista Platform:
"Dati Personali trattati: Strumenti di Tracciamento e varie tipologie di Dati secondo quanto specificato dalla privacy policy del servizio".
Il mio consiglio, pertanto, è di esporre comunque il banner e di far esercitare agli utenti il proprio diritto di confermare o meno il tracciamento.
In questo modo evita ogni tipo di problema.

Saluti

[dreadnaut]

Di norma, infatti, gli hosting tracciano dati particolari personali.

Questo può essere interpretato come "gli hosting hanno log di sistema per evitare abusi" (legale, non richiede consense), o come "gli hosting infilano i loro cookie nel tuo sito per tracciare gli utenti" (illegale per l'hosting, doppiamente se a) non lo dicono ai loro clienti b) non li obbligano a mettere un avviso sul loro sito). Cosa intendi in questo caso?

Mettere un banner con una scelta su un sito su cui non ha effetto non ha senso, anzi, è mentire agli utenti. Nessun banner può influire sui log di servizio di AlterVista, ad esempio. Questi provabilmente contengono indirizzi IP (dati personali), ma possono farlo legalmente e senza consenso, perché sono utilizzati per evitare abusi del servizio.

La normativa esiste per evitare che i dati degli utenti vengano utilizzati in modi non "strutturali" per il funzionamento di un sito, senza che essi ne siano al corrente, e ne approvino l'uso. Se il sito kairos2000 non raccoglie né fa uso simile di dati personali dei visitatori (né direttamente, né via terze parti), la normativa non si applica.

Se il sito raccoglie ed utilizza i dati personali degli utenti, deve chiedere consenso e disattivare funzioni (o l'accesso) se il consenso viene negato.

[frasidipace]

Questo può essere interpretato come "gli hosting hanno log di sistema per evitare abusi" (legale, non richiede consense), o come "gli hosting infilano i loro cookie nel tuo sito per tracciare gli utenti" (illegale per l'hosting, doppiamente se a) non lo dicono ai loro clienti b) non li obbligano a mettere un avviso sul loro sito). Cosa intendi in questo caso?

Mettere un banner con una scelta su un sito su cui non ha effetto non ha senso, anzi, è mentire agli utenti. Nessun banner può influire sui log di servizio di AlterVista, ad esempio. Questi provabilmente contengono indirizzi IP (dati personali), ma possono farlo legalmente e senza consenso, perché sono utilizzati per evitare abusi del servizio.

La normativa esiste per evitare che i dati degli utenti vengano utilizzati in modi non "strutturali" per il funzionamento di un sito, senza che essi ne siano al corrente, e ne approvino l'uso. Se il sito kairos2000 non raccoglie né fa uso simile di dati personali dei visitatori (né direttamente, né via terze parti), la normativa non si applica.

Se il sito raccoglie ed utilizza i dati personali degli utenti, deve chiedere consenso e disattivare funzioni (o l'accesso) se il consenso viene negato.

Quindi stai affermando che Iubenda sbaglia a scrivere le policy? Allora dovresti farlo presente a loro. Tra l'altro è Iubenda che scrive in policy che gli hosting possono tracciare dati.
Detto ciò, Altervista offre il servizio di statistiche sul Pannello: come vengono rilevate tali statistiche? E' spiegato qui.
E poi, perché Altervista Platform è presente tra i servizi Iubenda (così come altri hosting) e come mai se apro una policy da Altervista il servizio Altervista Platform è configurato in policy di default? Un motivo ci sarà.

Ciao

[frasidipace]

Mettere un banner con una scelta su un sito su cui non ha effetto non ha senso, anzi, è mentire agli utenti. Nessun banner può influire sui log di servizio di AlterVista, ad esempio. Questi provabilmente contengono indirizzi IP (dati personali), ma possono farlo legalmente e senza consenso, perché sono utilizzati per evitare abusi del servizio.

Ad integrazione di quanto ho già scritto ieri, mi citi la norma secondo cui è possibile rilevare un IP (dato particolare personale) legalmente e senza consenso? Anche perché, proprio a proposito di Google Analytucs 3, l'Avv. Scorza, membro del Garante, ha dichiarato esplicitamente che "non archiviare un IP non significa non rilevarlo".

Ciao

[dreadnaut]

Quindi stai affermando che Iubenda sbaglia a scrivere le policy?

No, quella è una tua conclusione. Forse stai pensando ad un contesto diverso? Ricorda che il testo di Iubenda deve applicarsi nel modo più ampio possibile, parandosi in ogni evenienza.

Kairos2020 sta costruendo da zero un sito personale "a sola lettura" su Altervista — una piattaforma di cui ci fidiamo, e non nasconde codice nelle pagine dei siti che ospita. Questo mi porta a GDPR, Articolo 2:

This Regulation does not apply to the processing of personal data:

(c) by a natural person in the course of a purely personal or household activity;

Cosa vuol dire "personal"? La normativa non include una definizione precisa, ma ci sono casi come questo che escludono il pubblicare dati personali (100.1), ma non includono l'essere accessibili da chiunque su internet. Un sito che raccoglie alcuni dati ma non li pubblica sarebbe accettabile nel caso di cui sopra.

Per quanto riguarda i log, c'è invece l'Articolo 6, in particolare i punti (c) ed (f)

Processing shall be lawful only if and to the extent that at least one of the following applies:

(c) processing is necessary for compliance with a legal obligation to which the controller is subject;

(f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.

Non sono un avvocato per sapere se (c) si applica (probabile, per una piattaforma così grossa), ma decisamente (f). La lettura comune è che log di accesso sono necessari per investigare abusi, di interesse per l'hosting per fornire un buon servizio, e temporanei nella loro esistenza.


Come ho scritto nel mio primo messaggio, GDPR è una normativa che mira a salvaguardare privacy e dati personali. Non a creare una serie di problemi e complicazioni per ogni attività su internet e non. Se la leggi con la seconda interpretazione, allora ci sono pericoli ed avvocati ovunque.

Se vuoi comunque essere extra-trasparente ed avere una privacy policy, è una valida scelta.

[frasidipace]

No, quella è una tua conclusione. Forse stai pensando ad un contesto diverso? Ricorda che il testo di Iubenda deve applicarsi nel modo più ampio possibile, parandosi in ogni evenienza.

E' il titolare del sito che deve pararsi in ogni evenienza, non Iubenda.
Iubenda rileva che Altervista Platform fa tracciamento. Se così non fosse perché perché la elencherebbe tra i suoi servizi e perché verrebbe aggiunta di default quando si genera una policy dai tools Altervista?
Secondo Iubenda per Altervista Platform questi sono i "Dati Personali trattati: Cookie e varie tipologie di Dati secondo quanto specificato dalla privacy policy del servizio".
E' sbagliato? E allora ribadisco: occorre comunicarlo a Iubenda.
Non mi hai chiarito, però, le statistche sul Pannello con account con hosting con file manager come vengono conteggiate, visto che qui si legge "Le Statistiche Hosting conteggiano, a partire dai logs delle macchine che erogano il sito web, tutti gli accessi effettuati al tuo sito web".
Come fa Altervista a sapere quante volte accedo al sito e se l'accesso è unico o meno?

Kairos2020 sta costruendo da zero un sito personale "a sola lettura" su Altervista — una piattaforma di cui ci fidiamo, e non nasconde codice nelle pagine dei siti che ospita. Questo mi porta a GDPR, Articolo 2:


Cosa vuol dire "personal"? La normativa non include una definizione precisa, ma ci sono casi come questo che escludono il pubblicare dati personali (100.1), ma non includono l'essere accessibili da chiunque su internet. Un sito che raccoglie alcuni dati ma non li pubblica sarebbe accettabile nel caso di cui sopra.

Per quanto riguarda i log, c'è invece l'Articolo 6, in particolare i punti (c) ed (f)

E' sbagliato il tuo approccio. Il titolare del sito è sempre responsabile, anche se il sito è personale, dell'eventuale tracciamento di terze parti.
Inoltre, la questione non è se pubblichi o meno dati particolari personali, ma se li raccogli. Poi puoi cancellarli, distruggerli, ma se li raccogli l'utente deve saperlo. E a tal proposito ti ribadisco di andare a rivedere quanto affermato dall'Avv. Scorza a proposito di Google Analytics.

Non sono un avvocato per sapere se (c) si applica (probabile, per una piattaforma così grossa), ma decisamente (f). La lettura comune è che log di accesso sono necessari per investigare abusi, di interesse per l'hosting per fornire un buon servizio, e temporanei nella loro esistenza.

Le policy di Iubenda, invece, sono redatte da pool di legali esperti della materia.

Come ho scritto nel mio primo messaggio, GDPR è una normativa che mira a salvaguardare privacy e dati personali. Non a creare una serie di problemi e complicazioni per ogni attività su internet e non. Se la leggi con la seconda interpretazione, allora ci sono pericoli ed avvocati ovunque.

Infatti è così.

Se vuoi comunque essere extra-trasparente ed avere una privacy policy, è una valida scelta.

Sicuramente.

Ciao

[dreadnaut]

Iubenda rileva che Altervista Platform fa tracciamento. Se così non fosse perché perché la elencherebbe tra i suoi servizi e perché verrebbe aggiunta di default quando si genera una policy dai tools Altervista?
Secondo Iubenda per Altervista Platform questi sono i "Dati Personali trattati: Cookie e varie tipologie di Dati secondo quanto specificato dalla privacy policy del servizio".

Appare di default perché la policy che ricevi è apposita per siti su Altervista. Ed il testo che hai riportato è esattamente il messaggio più generico possibile: "raccolgono cose come specificato nel loro documento" copre tutto, non dice nulla, e passa la responsabilità ad Altervista.

Se pensi che sia sbagliato, comunicaglielo. A me sembra solo generico.

Non mi hai chiarito, però, le statistche sul Pannello con account...

Non so come sia implementato su Altervista, ma un hash dell'indirizzo IP sarebbe un'informazione univoca e non un dato personale, e quindi può essere usato per conteggiare visite ripetute.

Il titolare del sito è sempre responsabile, anche se il sito è personale, dell'eventuale tracciamento di terze parti.

Concordo perfettamente, ma sottolineo eventuale e tracciamento — che per me in questo caso sono esclusi dal tipo di applicativo che Kairos2020 sta costruendo, e dalle comuni pratiche per la gestione dei log. Il sito in questione è un'attività personale (Art 2.c) e non raccoglie dati direttamente, ed i dati raccolti da Altervista non richiedono consenso (Art 6.f).

Inoltre, la questione non è se pubblichi o meno dati particolari personali, ma se li raccogli.

Per la definizione di "purely personal or household activity", questa non sembra essere l'opinione della ECJ, che fornisce l'interpretazione finale delle normative europee.

E a tal proposito ti ribadisco di andare a rivedere quanto affermato dall'Avv. Scorza a proposito di Google Analytics.

Hai menzionato più volte questo articolo, puoi fornirmi un link?

Se riguarda Google Analytics, la questione UE <-> US è tutta un'altra gatta da pelare. E li anche solo spedire i dati oltreoceano sarebbe un problema, esattamente come dici tu.

[frasidipace]

Appare di default perché la policy che ricevi è apposita per siti su Altervista. Ed il testo che hai riportato è esattamente il messaggio più generico possibile: "raccolgono cose come specificato nel loro documento" copre tutto, non dice nulla, e passa la responsabilità ad Altervista.

Se pensi che sia sbagliato, comunicaglielo. A me sembra solo generico.

Non sono io a pensare che sia sbagliato.
Non è generico, perché è ciò che viene riportato per qualsiasi servizio che faccia tracciamento ed ovviamente si rimanda alla policy di quel servizio.

Non so come sia implementato su Altervista, ma un hash dell'indirizzo IP sarebbe un'informazione univoca e non un dato personale, e quindi può essere usato per conteggiare visite ripetute.

L'hashing lo si fa su un dato, quindi lo si rileva e siccome parliamo di IP, occorre il consenso per rilevarlo.

Concordo perfettamente, ma sottolineo eventuale e tracciamento — che per me in questo caso sono esclusi dal tipo di applicativo che Kairos2020 sta costruendo, e dalle comuni pratiche per la gestione dei log. Il sito in questione è un'attività personale (Art 2.c) e non raccoglie dati direttamente, ed i dati raccolti da Altervista non richiedono consenso (Art 6.f).

Anche i siti personali se fanno tracciamento in proprio o con terze parti devono avere una policy.

Per la definizione di "purely personal or household activity", questa non sembra essere l'opinione della ECJ, che fornisce l'interpretazione finale delle normative europee.

In Italia si fa riferimento prima di tutto a ciò che stabilisce il Garante.

Hai menzionato più volte questo articolo, puoi fornirmi un link?

Se riguarda Google Analytics, la questione UE <-> US è tutta un'altra gatta da pelare. E li anche solo spedire i dati oltreoceano sarebbe un problema, esattamente come dici tu.

Riguarda Google Anlytics, ma qualsiasi norma diventa di carattere generale.
Puoi leggere qui ed ascoltare qui.
I dati particolari personali non sono solo l'IP o il nominativo dell'utente, ma anche la sua posizione geografica, il browser, il sistema operativo, il dispositivo, ecc..

Ciao

[dreadnaut]

Nell'articolo da te citato, il problema è che i dati escono dall'Unione Europea. Gli indirizzi IP raccolti da Analytics venivano mandati a Google, fuori dall'Unione Europea. Questo è illegale dal 2020, quando è stato annullato l'accordo del Privacy Shield.

Il Garante è saggio: un soggetto fuori dall'UE non può ricevere/rilevare/raccogliere-e-poi-buttare indirizzi IP e dati connessi a persone nell'UE. Non devono proprio arrivargli! In questo thread invece stiamo parlando dell'attività personale di Kairos2020, che da come ci ha spiegato è completamente nei confini dell'Unione, third-party inclusi — il contesto è diverso!

Hai un modello in testa, e lo stai applicando a tutti i problemi, quando la normativa si prende cura di separarli. Chiaramente non sono in grado di spiegartene i dettagli, mi spiace.


(Nota che sul web è impossible non rilevare un indirizzo IP, perché come minimo il server deve usarlo per risponderti. E non può averti chiesto consenso prima di risponderti. Usare l'indirizzo IP per garantire il corretto funzionamento di un servizio è legale, così come raccogliere statistiche anonimizzate.)

[frasidipace]

Nell'articolo da te citato, il problema è che i dati escono dall'Unione Europea. Gli indirizzi IP raccolti da Analytics venivano mandati a Google, fuori dall'Unione Europea. Questo è illegale dal 2020, quando è stato annullato l'accordo del Privacy Shield.

Il Garante è saggio: un soggetto fuori dall'UE non può ricevere/rilevare/raccogliere-e-poi-buttare indirizzi IP e dati connessi a persone nell'UE. Non devono proprio arrivargli!

La questione dell'IP rilevato anche se non salvato, menzionata dal Garante, riguarda GA4, non GA3, quindi ha carattere di natura generale. Se tracci, l'utente deve saperlo e deve sapere a che fine. Ciò vale per qualsiasi servizio.

In questo thread invece stiamo parlando dell'attività personale di Kairos2020, che da comeci ha spiegato è completamente nei confini dell'Unione, third-party inclusi — il contesto è diverso!

E' diverso perché Altervista Platform non invia dati guori UE, ma fa tracciamento ed è ampiamente dichiarato e tra poco te lo dimostro.

Hai un modello in testa, e lo stai applicando a tutti i problemi, quando la normativa si prende cura di separarli. Chiaramente non sono
in grado di spiegartene i dettagli, mi spiace.

Non si tratta di avere modelli in testa, ma di saper leggere ciò che è scritto e vengo subito al punto:

1) Relativamente a quanto hai scritto in precedenza riguardo a Iubenda che avrebbe scritto una policy per "pararsi", ciò non corrisponde al vero. E' una grossoloana inesattezza ed è palese che tu non ti sia accertato prima di scrivere.
La policy, infatti, come afferma Altervista, è stata creata "in esclusiva da Iubenda". Ciò significa che Altervista quella policy, scritta da un "team di avvocati" l'ha letta, verificata, e validata. Significa anche che per scriverla, ALtervista ha dovuto comunicare dei dettagli tecnici, che tra poco vedremo quali sono.
Sempre Altervista invita i titolari dei siti di "verificare di avere attivi due importanti servizi Altervista [...] Altervista Platform e Altervista Advertising Network". Il secondo servizio, ovviamente, va impostato solo se vi è pubblicità sul sito.

2) Veniamo ora al tracciamento.
Nella privacy policy di Altervista Platform è scritto tra l'altro che i dati tracciati sono "numero di Utenti, città, statistiche delle sessioni, latitudine (della città), longitudine (della città) e informazioni sul browser".
Vero è che questi dati, o parte di essi, vengono messi a disposizione del titolare del sito ai fini delle statistiche, ma Altervista potrebbe utilizzarli per altri fini.
Il titolare del sito, pertanto, è tenuto a dichiarare tutto ciò. Se non lo fa son problemi suoi.
In qualità di Super Moderatore di questo forum dovresti dare le corrette indicazioni, leggendo i documenti, non fare libera interpretazione.
E con questo ritengo di aver scritto tutto ciò che c'era da scrivere sull'argomento e, pertanto, mi fermo qui e non andrò oltre.
Ciascun titolare è libero di comunicare ciò che vuole ai propri utenti, ovviamente assumendosene tutte le responsabilità del caso.

Ciao

[dreadnaut]

Pararsi ed avvocati vanno assieme: è il loro compito compilare documentazione in modo che la responsabilità sia assegnata al soggetto corretto. Non Iubenda, che prepara il testo, non AlterVista, che offre un servizio di hosting, ma l'utente di AlterVista.

Quella che definisci "grossolana inesattezza" è esattamente nella policy che hai linkato:

L'Utente si assume la responsabilità dei Dati Personali di terzi ottenuti, pubblicati o condivisi mediante Altervista Platform e garantisce di avere il diritto di comunicarli o diffonderli, liberando il Titolare da qualsiasi responsabilità verso terzi.

La policy per AlterVista Platform è generica. Aprendo un paio di sezioni si può vedere, ad esempio, come faccia riferimento ai plugin per Wordpress inclusi nell'installazione prefabbricata di AlterVista. "Platform" è l'intero servizio offerto: dal pannello di controllo e l'hosting base fino ai blog più avanzati. Quali dati vengono raccolti dipende dalle funzioni della piattaforma che utilizzi — e per alcuni di essi il trattamento viene effettuato negli Stati Uniti, come indicato nella privacy policy, quindi il consenso è essenziale!

Ma se non utilizzi Wordpress, non devi comunicare la raccolta di dati da parte dei plugin di Wordpress. Se non usi Analytics o Google Fonts, non devi comunicare la raccolta di dati da parte di Google.


Il titolare del sito deve informare gli utenti ed ottenere il consenso per tutti i dati personali raccolti direttamente e da terze parti (AlterVista inclusa), tenendo conto delle esclusioni descritte nella normativa GDPR — legittimo interesse, fornitura del servizio, attività personali, etc.

[frasidipace]

Pararsi ed avvocati vanno assieme: è il loro compito compilare documentazione in modo che la responsabilità sia assegnata al soggetto corretto. Non Iubenda, che prepara il testo, non AlterVista, che offre un servizio di hosting, ma l'utente di AlterVista.

Si dà il caso che il responsabile dei servizi presenti sul sito sia il relativo titolare.

Quella che definisci "grossolana inesattezza" è esattamente nella policy che hai linkato:

Se avessi letto con attenzione ciò che ho scritto, la tua "grossolana inesattezza" è di aver definito la policy di Iubenda scritta per pararsi, ma così non è perché redatta in collaborazione con Altervista.

La policy per AlterVista Platform è generica. Aprendo un paio di sezioni si può vedere, ad esempio, come faccia riferimento ai plugin per Wordpress inclusi nell'installazione prefabbricata di AlterVista.

Altra inesattezza. I plugins elencati sono due: Disqus ed Askimet. Il primo non è installato di default su Wordprepp Altervista, mentre il secondo è installato, e tra l'altro anche su Wordpress originale, ma non è attivo.
Inoltre, qualsiasi servizio venga attivato, deve essere aggiunto alla provacy policy del sito, non si può far riferimento a quella di terze parti, perché in quel caso è il sito che raccoglie dati direttamente, non l'hosting.

"Platform" è l'intero servizio offerto: dal pannello di controllo e l'hosting base fino ai blog più avanzati. Quali dati vengono raccolti dipende dalle funzioni della piattaforma che utilizzi — e per alcuni di essi il trattamento viene effettuato negli Stati Uniti, come indicato nella privacy policy, quindi il consenso è essenziale!

Infatti tra i servizi platoform c'è l'analytics e, pertanto, va dichiarato in policy.

Ma se non utilizzi Wordpress, non devi comunicare la raccolta di dati da parte dei plugin di Wordpress.

Wordpress non c'entra nulla!

Il titolare del sito deve informare gli utenti ed ottenere il consenso per tutti i dati personali raccolti direttamente e da terze parti (AlterVista inclusa), tenendo conto delle esclusioni descritte nella normativa GDPR — legittimo interesse, fornitura del servizio, attività personali, etc.

Appunto! Se Altervista è inclusa, questa fa tracciamento ai fini analytics, e pertanto anche se il sito è personale o tutto quello che vuoi, va dichiarato in policy ed occorre il consenso.

Questo è quanto, che ti piaccia o non.
Poi, se vuoi continuare a comunicare agli utenti che i siti personali ospitati da Altervista possono essere privi di privacy policy malgrado la platform faccia tracciamento ai fini analytics, fai pure e te ne assumi la responsabilità.

Ciao

[dreadnaut]

Improvvisamente scrivi "analytics" minuscolo. Intenti "statistiche" oppure intendi "Google Analytics"?

Google Analytics è senza dubbio un servizio che richiede il consenso del visitatore, mentre si possono calcolare statistiche anonime interne al server, senza utilizzare dati personali.

Poi, se vuoi continuare a comunicare agli utenti che i siti personali ospitati da Altervista possono essere privi di privacy policy malgrado la platform faccia tracciamento ai fini analytics, fai pure e te ne assumi la responsabilità.

Nei miei messaggi precedenti ho specificato con attenzione il contesto in cui si applicano le esenzioni previste della normativa, inclusi articoli, casi giudiziari, e motivazioni tecniche. Spetta ad ognuno valutare se queste esenzioni si applicano al proprio sito, in base alle tecnologie ed ai servizi utilizzati.

Nota che "la platform" come dici tu è una serie di funzionalità, non tutte sono attive su ogni sito, non tutte utilizzano dati personali per fini o in modalità che ricadono sotto GDPR. Se fai di tutta l'erba un fascio, finisci con la policy generalizzata, che menziona tutto.

[frasidipace]

Ti ho risposto in privato, in modo da evitare in intasare il thread

Ciao

[frasidipace]

Ciao dreadnaut,
scusami, ma non riesco ad inviarti un messaggio privato di aggiornamento, forse perché sei Super Moderatore.
Volevo solo aggiornarti sul fatto che su Iubenda il tooltip di Altervista Platform recita come segue:

"Se il tuo sito o i suoi componenti sono ospitati su Altervista Platform, allora aggiungi questa clausola alla tua privacy policy".

Quindi, per Iubenda, i siti presenti su Altervista devono avere in policy questo servizio.

Ciao

[dreadnaut]

Me ne hai mandati quattro

[frasidipace]

Me ne hai mandati quattro

Scusami, ma non li vedevo inviati.

Ciao

[kairos2020]

Buonasera, sono stato alcuni giorni in montagna e non ho avuto modo di connettermi prima per leggere i vostri interessanti interventi.
Sinceramente sono molto confuso, non avendo dubbi circa la vostra competenza in materia devo constatare quanto sia comunque difficile e complesso l'argomento di questa discussione.
Mi permetto solo di rilevare quanto siano poco lungimiranti i legislatori 'colpevoli' per le normative sulla privacy.
Ritengo infatti che non prevedere un ambito 'didattico' inteso come possibilità per giovani sviluppatori (non è il mio caso) di sperimentare direttamente on line senza rischiare multe da far paura sia davvero molto sciocco, e uso un eufemismo.
Io sono un pensionato che gioca, non devo fare esperienza per migliorare il mio livello di conoscenza e capacità informatica ma un giovane che vuole entrare in modo professionale nel mondo della programmazione dovrebbe essere aiutato e non scoraggiato.

Vorrei portare una esperienza personale con il Garante dei Dati, primavera 2003 (forse 2004) lavoravo in una società di lavoro interinale, sanzione di 400.000 euro, ricorso presso Sede del Garante in Roma, 10 minuti di cui 5 per presentazioni e saluti, sanzione ridotta a 300 euro per un singolo errore formale (l'annullamento avrebbe avuto costi superiori), 8.000 euro all'avvocato per consulenza e spese di viaggio.

... quindi ho deciso mi dedicherò ad attività meno pericolose della programmazione php.

Grazie per vostri interessanti interventi e per la vostra pazienza.

[frasidipace]

Salve,
il Garante della Privacy deve garantire appunto la privacy di tutti i cittadini italiani e fare in modo che il GDPR venga rispettato.
Se l'hosting su cui il sito è ospitato fa tracciamento dei dati, occorre impostare la privacy policy.
E' il caso di Altervista Platform che, come si legge nella privacy policy, traccia "numero di Utenti, città, statistiche delle sessioni, latitudine (della città), longitudine (della città) e informazioni sul browser".
Aggiungendo tale servizio, come suggerisce la stessa Iubenda che ha scritto una policy ad hoc per Altervista Platform, non si corre alcun rischio:


Non è, pertanto, una questione di essere o meno lungimiranti, ma di far rispettare delle norme.
Se poi quanto scritto in policy non corrisponde al vero, sarà lo staff di Altervista a farla modificare, ma al momento questo è ciò che è dichiarato, sul Pannello Altervista le statistiche ci sono e Iubenda invita ad aggiungere il servizio in policy.
Esistono comunque applicativi locali per fare esperienze di programmazione, come ad esempio EasyPHP.

Saluti

[kairos2020]

Buongiorno, innanzi tutto grazie per la risposta e il tempo dedicato alla mia domanda, per mia scarsa chiarezza
credo però di esser stato frainteso.
Nulla da dire sul principio della difesa della privacy, molti dubbi sulla sua efficienza, e questo è diverso.

Grazie anche per avermi segnalato EASYPhp, in realtà lo sto utilizzando dall'inizio, però, certamente a ragione della mia scarsa capacità in materia ho riscontrato che non sempre quello che funziona in locale funziona allo stesso modo
in remoto, ma forse è solo un problema mio.
Ecco perchè ritengo che fare dei test in remoto sia importante, ed ecco perchè trovo poco 'lungimrante' non prevedere
norme semplici e chiare per situazioni di studio, tutto qui.
Osservo peraltro che norme semplificate sono previste in molte leggi e decreti, anche fiscali.
Grazie ancora per le risposte.

[dreadnaut]

Mi permetto solo di rilevare quanto siano poco lungimiranti i legislatori 'colpevoli' per le normative sulla privacy.

Guarda, per lavoro ho a che fare con GDPR dal giorno in cui è stata pubblicata la prima bozza, e la normativa ha senso. Quello che crea problemi è la disperazione con cui alcune piattaforme pubblicitarie cercano di raccogliere più dati possibili, correndo dietro alla promessa di guadagni più alti — sono la causa dei più infidi pannelli per il consenso, ed in parte del panico generale attorno a GDPR.


Per quanto riguarda la lunga discussione con frasidipace, e la nostra prosecuzione via messaggi privati, abbiamo trovato il punto in cui la nostra interpretazione diverge.

La privacy policy di AlterVista è "generica" in quanto copre ogni tipo di sito, dall'hosting semplice ai blog preconfezionati. Mettendo da parte le sezioni sui servizi esterni, che non si applicano al tuo sito, rimane questo pezzo:

Fra i Dati Personali raccolti da Altervista Platform, in modo autonomo o tramite terze parti, ci sono: Cookie, Dati di utilizzo, nome, cognome, email, username, varie tipologie di Dati, ID Utente, informazioni sul dispositivo, identificatori univoci di dispositivi per la pubblicità (Google Advertiser ID o identificatore IDFA, per esempio), numero di Utenti, città, statistiche delle sessioni, latitudine (della città), longitudine (della città) e informazioni sul browser.

Questa frase copre diverse parti della piattaforma:

1. "nome, cognome, email, username" sono quelli degli utenti di AlterVista, inseriti ad esempio al momento dell'iscrizione, ma non di chi visita un sito.

2. "varie tipologie di Dati, ID Utente, informazioni sul dispositivo, identificatori univoci di dispositivi per la pubblicità (Google Advertiser ID o identificatore IDFA, per esempio)" sembrano legati alla pubblicità su altervista.org oppure nei siti. Se non inserisci pubblicità sul tuo sito, questi non dovrebbero venire raccolti.

3. infine "numero di Utenti, città, statistiche delle sessioni, latitudine (della città), longitudine (della città) e informazioni sul browser" queste sembrano le statistiche dei visitatori, che si possono raccogliere a partire da un indirizzo IP o dallo "User-Agent" inviato dal browser.

Il punto (3) sembra fare riferimento alle statistiche raccolte lato server (non da JavaScript attivo nel browser dell'utente) e si riflettono nei dati aggregati che trovi nel Pannello di Controllo.

Tecnicamente questi non possono essere elaborati senza essere ricondotti ad uno specifico utente, quindi a mio parere non ricadono sotto GDPR. L'opinione di frasidipace è diversa. Purtroppo né io né lui abbiamo modo di verificare la nostra interpretazione.


A questo punto avrei una domanda per Alemoppo: sarebbe possibile avere una chiarificazione sulla privacy policy?
— Se metto una semplice pagina statica su AlterVista, quali dati vengono raccolti dalla piattaforma in modo non-anonimo?

[kairos2020]

Buonasera Dreadnaut, ancora grazie per la risposta, e la pazienza.

Alla fine la soluzione più semplice è utilizzare il servizio offerto 'in bundle' da IUBENDA, così posso collegare il sito ad una email, utile per gli scambi e per ricevere commenti da altri collezionisti.

Per mia fortuna non ho mai incontrato sulla mia strada professionale il GDPR, sono andato in pensione nel 2017, a cavallo tra la sua entrata in vigore e l'applicazione, quindi mi fido del tuo giudizio in ordine alla sua 'sensatezza' mantengo però pessimi ricordi sulla 196/2003 ...
Grazie

[alemoppo]

Se metto una semplice pagina statica su AlterVista, quali dati vengono raccolti dalla piattaforma in modo non-anonimo?

Vengono raccolti i medesimi dati che vengono raccolti da un qualsiasi servizio di hosting, ovvero viene prodotto un log di accesso standard alla pagina, questo log contiene l'indirizzo ip che viene utilizzato per assolvere gli obblighi di legge.

Ciao!

[frasidipace]

Vengono raccolti i medesimi dati che vengono raccolti da un qualsiasi servizio di hosting, ovvero viene prodotto un log di accesso standard alla pagina, questo log contiene l'indirizzo ip che viene utilizzato per assolvere gli obblighi di legge.

Ciao!

Motivo per cui, come invita a fare Iubenda, occorre impostare una privacy policy sul proprio sito web ospitato da Altervista.

Grazie

[dreadnaut]

Per essere precisi, la privacy policy è necessaria, ma non il banner per il consenso, perché i log ricadono sotto Art 6.1 (c).

Processing shall be lawful only if and to the extent that at least one of the following applies:

(a) the data subject has given consent to the processing of his or her personal data for one or more specific purposes;
(b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract;
(c) processing is necessary for compliance with a legal obligation to which the controller is subject;

(e faccio riferimento al mio messaggio #4 — così possiamo ricominciare un eterno ciclo )

[frasidipace]

Per essere precisi, la privacy policy è necessaria, ma non il banner per il consenso, perché i log ricadono sotto Art 6.1 (c).



(e faccio riferimento al mio messaggio #4 — così possiamo ricominciare un eterno ciclo )

Infatti ho scritto privacy policy, non cookie policy
Una privacy policy deve essere sempre presente su un sito web, proprio perché risiede su un hosting.

Ciao

[kairos2020]

Buonasera, vediamo se ho capito.
Io non utilizzo cookies, ma se utilizzassi cookies tecnici sarebbe lo stesso, e non raccolgo nessun dato dai visitatori.
Altervista registra un log per i fini previsti dalle normative vigenti , ed il log è l'indirizzo IP del visitatore.
Quindi non ho l'obbligo del banner per i cookies ( che non utilizzo).
Se fin ho compreso ho esclusivamente l'obbligo di avere una privacy policy.
Privacy policy che dove garantire al visitatore il 'diritto all'oblio' (credo si definisca così) ovvero il diritto del visitatore a far cancellare i dati che lo riguardano.
Ma i dati del visitatore non sono in mio possesso, come posso garantire questo diritto al visitatore ...
Chiedo scusa per l'eventuale banalità di questo post ma l'argomento è davvero interessante.

Grazie

[dreadnaut]

Puoi puntare i lettori alla privacy policy di AlterVista, menzionata in precedenza da frasidipace.

Direi che è importante specificare che il tuo sito:

- non raccoglie dati direttamente
- non include codice di terze parti che raccoglie dati
- è ospitato da AlterVista, che raccoglie log di sistema che contengono l'indirizzo IP -> link alla p.p. di AlterVista